02-04-2016, 08:59 AM
Xenos, j'ai quelques soucis... (C'est peut-être pas le bon endroit pour en parler, désolé dans ce cas).
Alors, j'ai regardé sur Wikipédia, et j'ai bien compris comment on fait une injection SQL.
J'ai lu qu'on pouvait utiliser des requêtes préparées pour y pallier, ce que j'ai fais, mais tu dis que j'ai raté la partie encodage dans mon code.
Du coup sans ça je ne suis pas protégé des injections SQL c'est bien ça ?
Le soucis que j'ai avec ta deuxième méthode, c'est que certaines requêtes, écrites comme celle que j'ai écrit dans mon précédant post, ne sont pas les mêmes selon les conditions. Alors que c'est la même "variable" qui s'exécute, mais qui change selon la conditions, donc elle ne récupère elle-même pas les mêmes variables. Du coup, je ne peux pas les exécuter de la même manière. Du coup je serais tenté d'utiliser sql_escape() mais j'ai pas bien compris ce qu'il y avait de déconseillé à l'utiliser. Ca veut dire quoi 'il n'existe pas tellement' ?
Sinon sur wikipédia ils proposent ça : mysqli_real_escape_string C'est mieux que sql_escape() ?
Alors, j'ai regardé sur Wikipédia, et j'ai bien compris comment on fait une injection SQL.
J'ai lu qu'on pouvait utiliser des requêtes préparées pour y pallier, ce que j'ai fais, mais tu dis que j'ai raté la partie encodage dans mon code.
Du coup sans ça je ne suis pas protégé des injections SQL c'est bien ça ?
Le soucis que j'ai avec ta deuxième méthode, c'est que certaines requêtes, écrites comme celle que j'ai écrit dans mon précédant post, ne sont pas les mêmes selon les conditions. Alors que c'est la même "variable" qui s'exécute, mais qui change selon la conditions, donc elle ne récupère elle-même pas les mêmes variables. Du coup, je ne peux pas les exécuter de la même manière. Du coup je serais tenté d'utiliser sql_escape() mais j'ai pas bien compris ce qu'il y avait de déconseillé à l'utiliser. Ca veut dire quoi 'il n'existe pas tellement' ?
Sinon sur wikipédia ils proposent ça : mysqli_real_escape_string C'est mieux que sql_escape() ?