pb d'apostrophe

Répondre
nono007
le 12/06/2008 à 22:01
nono007
Déconnecté
Bonsoir,
j'ai un niveau bricoleur du dimanche en php, mais il m'arrive de aire des copier coller de code.
je souhaiterai intégrer mysql_real_escape_string dans une requete qui est mixer avec amfphp. si une ame charitable pouvait m'aider.

ci joint le code
voici le code brut :

  1.  
  2. <?php
  3.  
  4.  
  5. class products{  
  6. //change to match your needs  
  7. var $dbhost = "localhost";  
  8. var $dbname = "Catalog";  
  9. var $dbuser = "root";  
  10. var $dbpass = "";  
  11.  
  12. function products(){  
  13. $this->methodTable = array(  
  14. "getItems" => array(  
  15. "description" => "Returns products table",  
  16. "access" => "remote" // available values are private, public, remote  
  17. //"arguments" => array ("message")  
  18. ),  
  19. "setItems" => array(  
  20. "description" => "Echoes the passed argument back to Flash (no need to set the return type)",  
  21. "access" => "remote", // available values are private, public, remote  
  22. "arguments" => array ("rs")  
  23. )  
  24. );  
  25.  
  26. // Initialize db connection  
  27. $this->conn = mysql_pconnect($this->dbhost, $this->dbuser, $this->dbpass);  
  28. mysql_select_db ($this->dbname);  
  29.  
  30. }  
  31. function getItems(){  
  32. return mysql_query("select * from list");  
  33. }  
  34. function setItems($rs){// function escape($param)  
  35. //return mysql_real_escape_string($rs, $this->conn);  
  36. $error = false;  
  37. for($i=0; $i<sizeof($rs); $i++){  
  38. $result = mysql_query("replace into list values('".$rs[$i]['PkProduct']."', '".$rs[$i]['Poste']."', '".$rs[$i]['Lieu']."', '".$rs[$i]['Description']."')");  
  39. if(!$result) $error = true;  
  40. }  
  41. if(!$error) return "Ok"; else return "Error";  
  42. }  
  43.  
  44. }  
  45. ?>
  46.  
  47.  
  48. // transforme une string pour éviter l'injection ou les apostrophes et guillements
  49. // Note: mysql_escape_string est recommandé, il est plus sécure que addslashes
  50. function escape($param)
  51. {
  52.  
  53. return mysql_escape_string($param);
  54. // ou bien si on veut préciser la connexion courante :
  55. // return mysql_real_escape_string($param, $this->conn);
  56. }
  57.  
  58.  


et voilà le style de trucs qu'il faudrait que je mets? en sachant que je ne fait pas appel à escape dans mon code du dessus

merci d'avance
LA GLOBULE
le 13/06/2008 à 00:57
LA GLOBULE
Déconnecté
111 111 111 x 111 111 111 = 12 345 678 987 654 321
Quelle est ta question ?

Mais sinon oui, il faut toujours escaper les paramètres de ses requêtes SQL pour se protéger contre les injections SQL.
Répondre
Accès rapide :

Remonter Remonter
L'éditeur javascript - CSS - Gentoo - Tutoriaux PHP - Tutoriels PHP - Breizh Blog