Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1857 connectés 

  FORUM HardWare.fr
  Programmation
  SQL/NoSQL

  double quotes injection sql

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

double quotes injection sql

n°1738976
ails
Mwen ké trouvé un bon chimin
Posté le 29-05-2008 à 16:06:36  profilanswer
 

Bonjour  
 
un petit probleme j ai un simple formulair php/html
 
un input text avec une methode POST
recup des données dans une variable puis insertion dans la base de donnée
si je tape du text comme cela :
 
truc machin "bleu" il est cool
 
dans la base de donnée je retrouve seulement truc machin \
 
la fonction qui ajoute les \ est sur on et je ne peut pas l enlever ..
j ai testé addslaches stripslaches mysql_real_escape_string htmlentitie ou htmlspecialchars et dans tous les cas le text est supprimé  
 
comment je recup le text entre les " ?  
 
merci d'avance je crack snif .


---------------
Ritouné mwen lé ritounin
mood
Publicité
Posté le 29-05-2008 à 16:06:36  profilanswer
 

n°1738986
flo850
moi je
Posté le 29-05-2008 à 16:21:55  profilanswer
 

tu peux nous montrer comment tu utilise stripslashes ?


---------------

n°1738998
ails
Mwen ké trouvé un bon chimin
Posté le 29-05-2008 à 16:38:21  profilanswer
 

flo850 a écrit :

tu peux nous montrer comment tu utilise stripslashes ?


 
yep
 

Code :
  1. <?php
  2. //connect...
  3. if (isset($_POST['varts15'])
  4. {
  5. $var1 = (stripeslashes($_POST['var1']));
  6. if (isset($_POST['ts22'])
  7. {
  8. mysql_query("insert into faq (var1) value ("' . $var1 .'" )" );
  9. }
  10. ?>


 
en simple c'est comme ca...
bref j'avance pas de la meme maniere j ai test addslashes....
merci pour votre aide je suis malheureusement incapable de trouver tout seul c'est fou cela me semble si simple et finalement tellement compliqué  


---------------
Ritouné mwen lé ritounin
n°1739000
flo850
moi je
Posté le 29-05-2008 à 16:43:57  profilanswer
 

tu regardes si  varts15  et ts22 sont pas vide  , mais tu traites var1


---------------

n°1739012
ails
Mwen ké trouvé un bon chimin
Posté le 29-05-2008 à 16:52:29  profilanswer
 

non c'est juste que je ne les ai pas ecrit mais je les enregistres aussi mais c'est var1 qui m interesse au final c'est ce champ text dans le quel tout ce qui ce trouve apres un double quote est supprimé

n°1739018
flo850
moi je
Posté le 29-05-2008 à 16:56:58  profilanswer
 

donc tu colle un bout de code qui n'a rien a voir [:rofl]
 
mysql_query("insert into faq (var1) value ("' . mysql_real_escape_string($var1) .'" )" );
 
sinon, sympa tes noms de variables, ca doit etre pratiqeu pour s'y retrouver


---------------

n°1739025
ails
Mwen ké trouvé un bon chimin
Posté le 29-05-2008 à 17:07:13  profilanswer
 

lol merci  
 
j' ai juste ecourté parce que mon code n'est pas sur le meme poste j ai pas internet la ou je code bref tinket pas pour mes variable va en revanche j ai fait la meme et pas de text apres "
bizzard ?
 

n°1739027
flo850
moi je
Posté le 29-05-2008 à 17:12:11  profilanswer
 

merci d'utilsier des mots complets et de la ponctuation
 
logiquement, avec mysql_real_escape_string , ca doit echapper les caractères spéciaux pour mysql et permettre l'insertion


---------------

n°1739205
ails
Mwen ké trouvé un bon chimin
Posté le 30-05-2008 à 08:41:16  profilanswer
 

bonjour !
Désolé pour le sms...
 
J'ai testé une nouvelle fois ("' . mysql_real_escape_string($var1) .'" et rien a fair :/ il supprime le text entre ".
 
Y a t'il une option dans php.ini qui peut me bloquer ?
Si non avez vous une autre solution please ?
 
Merci pour votre aide.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  SQL/NoSQL

  double quotes injection sql

 

Sujets relatifs
[C] Modifier chaine dans tableau à double entréeDouble requêtes sql en même temps
retourner un message dans le cas d'une saisie doubleDouble barre de soulignement [resolu]
Anim Flash en double lorsque je modifie les métas nameTP de C sur des listes à double chainage
Collection a double dimension avec utilisation de la généricitéInjection des Titres dans title. au secours !
long doubleconversion double -> const char*
Plus de sujets relatifs à : double quotes injection sql


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR