dolibarr-dev
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-dev] Bravo pour le module associations,

From: Yannick Warnier
Subject: Re: [Dolibarr-dev] Bravo pour le module associations,
Date: Tue, 16 Jan 2007 12:36:23 +0000 
Le mardi 16 janvier 2007 à 13:10 +0100, Franky Van Liedekerke a écrit :
> 
> Yannick,
> 
> j'ai vu que tu utilise addslashes, mais c'est dangereux si php le fait
> déjà (magic_qoutes_gpc, activé par default en php.ini). Alors, je
> pense que c'est mieux de créer un fonction doli_addslashes avec le
> code suivante:
> 
> function doli_addslashes ($string) {
>    return (! get_magic_quotes_gpc ()) ? addslashes ($string) :
> $string;
> }

Je vais plutôt faire une autre proposition, basée sur ta remarque...

Étant donné que le but est finalement de mettre la string dans la DB
tout en évitant qu'elle ne crée des problèmes d'injection, est-ce qu'on
ne rajouterait pas une méthode dans les classes DB dans
htdocs/lib/databases/ qui échappent les string à la manière de chaque
DB?

Par exemple, on ajouterait la méthode escape_string() dans chaque
connecteur DB et pour MySQL, ce serait

function escape_string($string) 
{
  return mysql_real_escape_string($string);
}

Celle-là je veux bien l'ajouter tout de suite dans les trois classes DB
et changer mes addslashes().

Yannick
reply via email to
[Prev in Thread] Current Thread [Next in Thread]