02-04-2008, 02:03 PM
Ben personnellement, je trouve tout ça bien peu utile. Pour ma part je travaille avec un serveur dont je contrôle la configuration, donc j'utilise uniquement mysql_real_escape_string() en live dans mes sprintf(). Mon contrôleur termine le script si les guillemets magiques sont activés.
Voilà ce que donne un script (tu peux en voir de vrai sur [Wiki JeuPHP] Seelies - Sources) :
Bien sûr, les variables sont filtrées par le script au préalable.Voilà ce que donne un script (tu peux en voir de vrai sur [Wiki JeuPHP] Seelies - Sources) :
Code PHP :
<?php
$query = sprintf(
"INSERT INTO maTable (
monChampId,
monChampNom
)
VALUES(%d, '%s');",
(int) $_POST['monId'],
mysql_real_escape_string($_POST['monNom'])
);
Et je n'ai aucun problème d'encodage (je fais du tout UTF-8) ou de caractères non souhaités. Dans le cas où je ne contrôle pas le serveur, j'utilise la fonction citée dans mon message précédent.
Et à l'affichage, je filtre avec des htmlentities ou autre fonctions, selon mes besoins.
keke a écrit :PS : pouvoir travailler avec ER à la fin ^^Damed, shocked by moi-même ! Comment j'ai pu faire cette faute là !? J'crois que c'est à cause de l'heure que j'ai passé récemment à regarder des Skyblogs en riant des loques qui y écrivent… :O
Sephi-Chan