Je cherche un équivalent php de mysql_real_escape_string()
7 réponses
Jean Francois Ortolo
Bonjour
Je suis en train d'adapter des scripts, des fonctions mysql_*() vers
celles de la librairie PDO de mysql.
Il s'agit d'un script de prise en compte de paiements PayPal, qui est
...schtroumpfement bien fait, mais malheureusement est fait avec ces
fonctions mysql_*().
J'ai trouvé sur le net, un équivalent théorique à la fonction
mysql_real_escape_string().
J'ai besoin de toute façon d'une telle fonction de remplacement, car
j'utilise la librairie PDO de MySQL et PHP, et non plus les fonctions (
bientôt obsolètes ) de type : mysql_*().
J'ai ajouté à cette fonction ( voir ci-dessous ), la traduction des
caractère spéciaux : "\b" et "\t".
Le problème ( en gros ), est que PHP traduit : "\\" en : "\", ce qui
fait que le caractère lu : "\\" correspond au caractère existant : "\" (
backslashe ).
D'autre part, la documentation MySQL, dit qu'il faut convertir le
caaractère ASCII : 26 ( Ctrl-Z, ou EOF ( fin de fichier ) ), en : "\Z".
Merci de me dire si cette fonction ci-dessous, est correcte sur le
plan des fonctionnalités, et n'oublie pas de caractères.
Je laisse le "Z" au lieu de chr(26), car ce caractère "Z" est préconisé dans la doc de MySQL.
Merci beaucoup de vos réponses.
Jean François Ortolo
Le 21/04/2014 11:07, Jean Francois Ortolo a écrit :
Bonjour
Je suis en train d'adapter des scripts, des fonctions mysql_*() vers celles de la librairie PDO de mysql.
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
J'ai trouvé sur le net, un équivalent théorique à la fonction mysql_real_escape_string().
J'ai besoin de toute façon d'une telle fonction de remplacement, car j'utilise la librairie PDO de MySQL et PHP, et non plus les fonctions ( bientôt obsolètes ) de type : mysql_*().
J'ai ajouté à cette fonction ( voir ci-dessous ), la traduction des caractère spéciaux : "b" et "t".
Le problème ( en gros ), est que PHP traduit : "" en : "", ce qui fait que le caractère lu : "" correspond au caractère existant : "" ( backslashe ).
D'autre part, la documentation MySQL, dit qu'il faut convertir le caaractère ASCII : 26 ( Ctrl-Z, ou EOF ( fin de fichier ) ), en : "Z".
Merci de me dire si cette fonction ci-dessous, est correcte sur le plan des fonctionnalités, et n'oublie pas de caractères.
Je laisse le "\Z" au lieu de chr(26), car ce caractère "Z" est
préconisé dans la doc de MySQL.
Merci beaucoup de vos réponses.
Jean François Ortolo
Le 21/04/2014 11:07, Jean Francois Ortolo a écrit :
Bonjour
Je suis en train d'adapter des scripts, des fonctions mysql_*() vers
celles de la librairie PDO de mysql.
Il s'agit d'un script de prise en compte de paiements PayPal, qui est
...schtroumpfement bien fait, mais malheureusement est fait avec ces
fonctions mysql_*().
J'ai trouvé sur le net, un équivalent théorique à la fonction
mysql_real_escape_string().
J'ai besoin de toute façon d'une telle fonction de remplacement, car
j'utilise la librairie PDO de MySQL et PHP, et non plus les fonctions (
bientôt obsolètes ) de type : mysql_*().
J'ai ajouté à cette fonction ( voir ci-dessous ), la traduction des
caractère spéciaux : "b" et "t".
Le problème ( en gros ), est que PHP traduit : "\" en : "", ce qui
fait que le caractère lu : "\" correspond au caractère existant : "" (
backslashe ).
D'autre part, la documentation MySQL, dit qu'il faut convertir le
caaractère ASCII : 26 ( Ctrl-Z, ou EOF ( fin de fichier ) ), en : "Z".
Merci de me dire si cette fonction ci-dessous, est correcte sur le
plan des fonctionnalités, et n'oublie pas de caractères.
Je laisse le "Z" au lieu de chr(26), car ce caractère "Z" est préconisé dans la doc de MySQL.
Merci beaucoup de vos réponses.
Jean François Ortolo
Le 21/04/2014 11:07, Jean Francois Ortolo a écrit :
Bonjour
Je suis en train d'adapter des scripts, des fonctions mysql_*() vers celles de la librairie PDO de mysql.
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
J'ai trouvé sur le net, un équivalent théorique à la fonction mysql_real_escape_string().
J'ai besoin de toute façon d'une telle fonction de remplacement, car j'utilise la librairie PDO de MySQL et PHP, et non plus les fonctions ( bientôt obsolètes ) de type : mysql_*().
J'ai ajouté à cette fonction ( voir ci-dessous ), la traduction des caractère spéciaux : "b" et "t".
Le problème ( en gros ), est que PHP traduit : "" en : "", ce qui fait que le caractère lu : "" correspond au caractère existant : "" ( backslashe ).
D'autre part, la documentation MySQL, dit qu'il faut convertir le caaractère ASCII : 26 ( Ctrl-Z, ou EOF ( fin de fichier ) ), en : "Z".
Merci de me dire si cette fonction ci-dessous, est correcte sur le plan des fonctionnalités, et n'oublie pas de caractères.
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
Pourquoi pas mysqli à la place de PDO ?
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid>
écrivait :
Il s'agit d'un script de prise en compte de paiements PayPal, qui est
...schtroumpfement bien fait, mais malheureusement est fait avec ces
fonctions mysql_*().
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
Pourquoi pas mysqli à la place de PDO ?
Jean Francois Ortolo
Le 21/04/2014 18:24, Otomatic a écrit :
Jean Francois Ortolo écrivait :
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
Pourquoi pas mysqli à la place de PDO ?
Bonjour Monsieur
Vous savez ce que c'est...
Les Habitudes de programmation çà ne se Schtroumpfe pas. ;)
J'attends le Super Super Schtroumpf , Schtroumpfement au courant des problèmes de MySQL...
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
Le problème étant : Les variable en amont sont propres, ma fonction str_escape() sera-t-elle viable et complète ?
Merci beaucoup de vos réponses.
Amicalement.
Jean François Ortolo
Le 21/04/2014 18:24, Otomatic a écrit :
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid>
écrivait :
Il s'agit d'un script de prise en compte de paiements PayPal, qui est
...schtroumpfement bien fait, mais malheureusement est fait avec ces
fonctions mysql_*().
Pourquoi pas mysqli à la place de PDO ?
Bonjour Monsieur
Vous savez ce que c'est...
Les Habitudes de programmation çà ne se Schtroumpfe pas. ;)
J'attends le Super Super Schtroumpf , Schtroumpfement au courant des
problèmes de MySQL...
D'abord, je sais que mes variables $_POST éventuelles, seront
stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me
stripslasher correctement les $_POST :
Il s'agit d'un script de prise en compte de paiements PayPal, qui est ...schtroumpfement bien fait, mais malheureusement est fait avec ces fonctions mysql_*().
Pourquoi pas mysqli à la place de PDO ?
Bonjour Monsieur
Vous savez ce que c'est...
Les Habitudes de programmation çà ne se Schtroumpfe pas. ;)
J'attends le Super Super Schtroumpf , Schtroumpfement au courant des problèmes de MySQL...
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
Le problème étant : Les variable en amont sont propres, ma fonction str_escape() sera-t-elle viable et complète ?
Merci beaucoup de vos réponses.
Amicalement.
Jean François Ortolo
YBM
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront
stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me
stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces
saloperies de escape_* vous seront superflues. mysqli ET PDO vous
les offrent sur un plateau.
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Jean Francois Ortolo
Le 22/04/2014 03:04, YBM a écrit :
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire simple" ?
Et surtout :
Je suis patient, j'attends la réponse à ma question.
Et voici de nouveau ma fonction : Est-elle fiable ou non ?
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront
stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me
stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces
saloperies de escape_* vous seront superflues. mysqli ET PDO vous
les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire
simple" ?
Et surtout :
Je suis patient, j'attends la réponse à ma question.
Et voici de nouveau ma fonction : Est-elle fiable ou non ?
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire simple" ?
Et surtout :
Je suis patient, j'attends la réponse à ma question.
Et voici de nouveau ma fonction : Est-elle fiable ou non ?
Le 22/04/2014 08:52, Jean Francois Ortolo a écrit :
Le 22/04/2014 03:04, YBM a écrit :
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Les requêtes préparées fonctionnent aussi bien avec les INSERT qu'avec tout autre ordre SQL.
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire simple" ?
Les requêtes préparées sont à la fois plus simple, plus fiable, plus performantes et plus sûre que cette aberration de bidule_escape et cette idiotie de magic_quote.
Maintenant c'est vous qui voyez, venez pas vous plaindre quand votre site se sera fait compromettre.
Le 22/04/2014 08:52, Jean Francois Ortolo a écrit :
Le 22/04/2014 03:04, YBM a écrit :
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront
stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me
stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces
saloperies de escape_* vous seront superflues. mysqli ET PDO vous
les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Les requêtes préparées fonctionnent aussi bien avec les INSERT qu'avec
tout autre ordre SQL.
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire
simple" ?
Les requêtes préparées sont à la fois plus simple, plus fiable, plus
performantes et plus sûre que cette aberration de bidule_escape et
cette idiotie de magic_quote.
Maintenant c'est vous qui voyez, venez pas vous plaindre quand votre
site se sera fait compromettre.
Le 22/04/2014 08:52, Jean Francois Ortolo a écrit :
Le 22/04/2014 03:04, YBM a écrit :
Le 21/04/2014 21:16, Jean Francois Ortolo a écrit :
D'abord, je sais que mes variables $_POST éventuelles, seront stripslashées comme il se doit, si get_magic_quotes_gpc() est à true.
ce qui est une très mauvaise idée.
En plus de çà, je viens de schtroumpfer une agréable fonction poru me stripslasher correctement les $_POST :
effort vain et absurde. Utilisez les requêtes préparées et ces saloperies de escape_* vous seront superflues. mysqli ET PDO vous les offrent sur un plateau.
Bonjour
Quelle agréable "suggestion"... ?
Requêtes préparées...
Et pour les INSERT ? ;)
Les requêtes préparées fonctionnent aussi bien avec les INSERT qu'avec tout autre ordre SQL.
Moi, "j'arrange" un script, mais je ne le détruis pas...
Comme dirait l'autre : "Pourquoi faire compliqué quand on peut faire simple" ?
Les requêtes préparées sont à la fois plus simple, plus fiable, plus performantes et plus sûre que cette aberration de bidule_escape et cette idiotie de magic_quote.
Maintenant c'est vous qui voyez, venez pas vous plaindre quand votre site se sera fait compromettre.
Jean Francois Ortolo
Rebonjour
Après tests ( affichage seulement, pas de database ), je pense que voici la dernière version de la fonction :
A côté de çà, je me pose des questions par rapport à l'utilité du "b".
Le caracatère escape : "b" fait partir de la table des séquences de caractères escape interprétés par MySQL, qui veut que ces caractères soient échappés par un "".
En ce qui concerne les paramètres "$_GET", "$_POST" et tout çà, le script que je veux arranger les tire directement de cette manière :
Il y a une autre manière de faire, peut-être plus propre :
// Reading POSTed data directly from $_POST causes serialization issues with array data in the POST. // Instead, read raw POST data from the input stream. $raw_post_data = file_get_contents('php://input'); $raw_post_array = explode('&', $raw_post_data); $myPost = array(); foreach ($raw_post_array as $keyval) { $keyval = explode ('=', $keyval); if (count($keyval) == 2) $myPost[$keyval[0]] = urldecode($keyval[1]); }
Quelle est, à votre avis, la meilleure solution ?
Donc, deux questions : A propos de la fonction str_replace(), et de la meilleure façon de collecter les paramètres $_GET, $_POST, etc...
Merci beaucoup de vos réponses.
Respectueusement.
Jean François Ortolo
Rebonjour
Après tests ( affichage seulement, pas de database ), je pense que
voici la dernière version de la fonction :
A côté de çà, je me pose des questions par rapport à l'utilité du "b".
Le caracatère escape : "b" fait partir de la table des séquences de
caractères escape interprétés par MySQL, qui veut que ces caractères
soient échappés par un "".
En ce qui concerne les paramètres "$_GET", "$_POST" et tout çà, le
script que je veux arranger les tire directement de cette manière :
Il y a une autre manière de faire, peut-être plus propre :
// Reading POSTed data directly from $_POST causes serialization issues
with array data in the POST.
// Instead, read raw POST data from the input stream.
$raw_post_data = file_get_contents('php://input');
$raw_post_array = explode('&', $raw_post_data);
$myPost = array();
foreach ($raw_post_array as $keyval) {
$keyval = explode ('=', $keyval);
if (count($keyval) == 2)
$myPost[$keyval[0]] = urldecode($keyval[1]);
}
Quelle est, à votre avis, la meilleure solution ?
Donc, deux questions : A propos de la fonction str_replace(), et de
la meilleure façon de collecter les paramètres $_GET, $_POST, etc...
A côté de çà, je me pose des questions par rapport à l'utilité du "b".
Le caracatère escape : "b" fait partir de la table des séquences de caractères escape interprétés par MySQL, qui veut que ces caractères soient échappés par un "".
En ce qui concerne les paramètres "$_GET", "$_POST" et tout çà, le script que je veux arranger les tire directement de cette manière :
Il y a une autre manière de faire, peut-être plus propre :
// Reading POSTed data directly from $_POST causes serialization issues with array data in the POST. // Instead, read raw POST data from the input stream. $raw_post_data = file_get_contents('php://input'); $raw_post_array = explode('&', $raw_post_data); $myPost = array(); foreach ($raw_post_array as $keyval) { $keyval = explode ('=', $keyval); if (count($keyval) == 2) $myPost[$keyval[0]] = urldecode($keyval[1]); }
Quelle est, à votre avis, la meilleure solution ?
Donc, deux questions : A propos de la fonction str_replace(), et de la meilleure façon de collecter les paramètres $_GET, $_POST, etc...
