Reprise du message précédent :

pourquoi ?

 
Parce qu'il faut lire la doc.

Je l'ai fait, mais c'est pas clair à ce niveau là justement.

Parce que c'est pas fait pour, et donc que ça ne va pas se comporter correctement.

 
Pourtant l'exemple est on ne peut plus clair.

Je crois que tu n'as pas bien compris mon post, ni le concept d'échappement qui y était expliqué...

Imagine une seconde que tu fasses un htmlspecialchars() sur toute une page html, demande-toi pourquoi ça ne marcherait pas et dis le moi

htmlspecialchars ça me parait très clair mais real_escape...
 
Je dois le mettre comme htmlspecialchars sur les variables avant qu'elles soient injectées ?

 
Putain mais lis l'exemple de la doc

+1.

je l'ai lu je te dis  
 
"$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));"
 
désolé si je trouve pas ça clair, je comprends même pas pourquoi il le met après

Regarde la doc de sprintf()

Même pas, y a l'exemple affiché juste en dessous de ce que donne la requête    
 

 
Ah mince je sais pourquoi je comprenais pas
 
comme ils ont fait des retours à la ligne, je pensais que c'était des lignes différentes et que sprintf ne s'appliquait que sur la première ligne
j'ai vu des points virgules à la place des virgules
 
Etourderie
 
Bref, merci beaucoup

heu non pas du tout c'est pas le même exemple fais pas le malin

J'ai pris l'exemple 2    
 
Pis sinon  

QUEST2NOOB : par contre, vous me confirmez que si on utilise escape string en toute logique, ça ne sert à rien d'appliquer addslashes aussi ?
 
Ps : je préfère être sûr même si ma question est bète et évidente, je préfère la poser

Voilà, c'est comme addslahes en mieux.

Et non seulement ca sert à rien mais ça ferait de la merde (doubles slashes etc).

 
Bah voilà c'est clair now, merci beaucoup TRL pour la 12 000 ième fois que tu m'aides

Par contre, autant addslashes a son stripslashes, mais mysql_real_escape_string ??

rien,pourquoi ?

Hey crée toi donc un topic QUEST2NOOB , j'ai du mal à suivre les conversations intéressantes la

Aucun intérêt (de même que stripslashes est rarement utile, à part pour virer les merdes de php à la magic_quotes)

 
ok donc je continue à utiliser stripslashes en fait tout en remplaçant mon addslashes par mysql_real_escape_string

Toi, t'as pas encore compris le concept d'échappement.

Indice : tu ne dois jamais avoir d'antislashes dans la BDD (sauf si tu y rentres "C:\mes docs\maman" évidemment).

 
Bah quasi toutes les infos rentrées dans la BDD le sont via des formulaire (que ce soit coté BO ou FO)
Donc perso j'ai mis des addslashes partout quasiment à chaque fois que je fais une injection BDD   et des stripslashes partout pour retirer    
 
Sachant que j'utilise mysql_query
 
Faut pas ?  
 
Ce que j'avais compris c'était qu'à chaque fois qu'on injectait un texte par exemple à partir d'un formulaire, comme s'il contient des apostrophes ça fout la merde, on met des addslashes

Question : selon toi si j'execute

Qu'est-ce qui va être inséré au final dans la BDD ? Name va avoir quelle valeur ?

 
bah "L\'utilisateur d\'enfer" en tant que name ?

Et bien non, ce sera L'utilisateur d'enfer .

De la même façon, si tu écris

Dans une page HTML, qu'est-ce qui va s'afficher ?

Nicolas &amp Marjolaine

edit de fourbe.

non mais ça ok mais pour une BDD je pensais pas qu'elle agissait de la sorte...
Donc en fait addslashes est à utiliser quand ?  

Jamais pour une BDD, c'est mysql_real_escape_string().

 
Ah ok c'est très clair alors
Merki boku !

Je crois pas
 
Comment tu fais pour rentrer la valeur

dans le champ "texte" d'une table "commentaires" ? Sans utiliser mysql_real_escpae_string() ni addslashes.

Quand tu utilises mysql, parce que mysql_real_escape_string + MSSQL =  

et php, certes

Nan mais l'échappement, c'est vraiment la plaie n°1 du dev web débutant...
 
A noter que les devs de myspace n'ont toujours pas compris non plus (des slashes s'ajoutent régulièrement aux messages ou aux champs, ou des entités HTML...)

 
Si je peux utiliser ni l'un ni l'uatre, bah j'utilise rien et ça devrait marcher Si j'en crois ce que tu m'as dit
En plus j'ai même pas mangé de l'artichaud mais de la pastèque

Si tu en crois ce que tu as compris

Donc vas-y balance ta requête STP.

(ya pas de raison qu'il n'y ai que moi qui fasse des efforts)