Problème mysql_real_escape_string php
Résolu/Fermé
A voir également:
- Problème mysql_real_escape_string php
- Easy php - Télécharger - Divers Web & Internet
- Php?id=1 - Forum PHP
- \R php ✓ - Forum PHP
- Php if plusieurs conditions ✓ - Forum PHP
- Couleur php ✓ - Forum PHP
3 réponses
Utilisateur anonyme
Modifié par eone2 le 27/03/2011 à 15:14
Modifié par eone2 le 27/03/2011 à 15:14
salut,
oui cette fonction ne marche qu'avec la connexion mysql ouverte. Et déjà ta question (ton code) n'a pas de sens car la fonction mysql_real_escape_string sert à éviter d'exécuter un code sql présent dans une variable qui peut figurer dans une requête sql. Il y a donc forcement connexion à la base de donnée pour lancer la requête. Je crois que tu n'as pas bien compris ce qu'est l'injection sql.
structure: langage php > langage sql
donc le probleme est du au fait que php exécute un code sql, on peut donc
modifier le code sql par les variables php (injection).
Les fonctions php ne présentent pas de problème du à l'introduction du code dans une variable (si l'on ne fait pas appel à "eval()" qui exécute le code )
d'où ton mysql_real_escape_string ne sert à rien s'il n'y a pas de requête sql
@+
oui cette fonction ne marche qu'avec la connexion mysql ouverte. Et déjà ta question (ton code) n'a pas de sens car la fonction mysql_real_escape_string sert à éviter d'exécuter un code sql présent dans une variable qui peut figurer dans une requête sql. Il y a donc forcement connexion à la base de donnée pour lancer la requête. Je crois que tu n'as pas bien compris ce qu'est l'injection sql.
structure: langage php > langage sql
donc le probleme est du au fait que php exécute un code sql, on peut donc
modifier le code sql par les variables php (injection).
Les fonctions php ne présentent pas de problème du à l'introduction du code dans une variable (si l'on ne fait pas appel à "eval()" qui exécute le code )
d'où ton mysql_real_escape_string ne sert à rien s'il n'y a pas de requête sql
@+
productif
Messages postés
39
Date d'inscription
mardi 8 mars 2011
Statut
Membre
Dernière intervention
9 février 2017
20
21 mars 2011 à 14:40
21 mars 2011 à 14:40
Si je comprends bien la formule, ce n'est pas le mot de passe qui est stocké dans la variable de session, mais son empreinte MD5.
Le fonction md5 renvoie une chaîne de caractères tous compris dans [0-9 a-z A-Z + /]; par conséquent, ni mysql_real_escape_string, ni stripslashes ne devraient être nécessaires. Tu devrais pouvoir directement écrire sans risque:
Le fonction md5 renvoie une chaîne de caractères tous compris dans [0-9 a-z A-Z + /]; par conséquent, ni mysql_real_escape_string, ni stripslashes ne devraient être nécessaires. Tu devrais pouvoir directement écrire sans risque:
$_SESSION['password'] = md5($_POST['password']);
productif
Messages postés
39
Date d'inscription
mardi 8 mars 2011
Statut
Membre
Dernière intervention
9 février 2017
20
21 mars 2011 à 14:42
21 mars 2011 à 14:42
Pardon, il ne fallait pas écrire [0-9 a-z A-Z + /], mais [0-9 A-F].
Ca ne change rien à la réponse.
Ca ne change rien à la réponse.
merci pour vos réponse, mais ce que je souhaite faire c'est "protéger" la variable $_POST['password'] qui n'es pas encore sécurisée, puis la mettre dans la session.
Afin de protéger contre les injections sql en effet.
Afin de protéger contre les injections sql en effet.
