Le mardi 16 janvier 2007 à 13:10 +0100, Franky Van Liedekerke a écrit :
>
> Yannick,
>
> j'ai vu que tu utilise addslashes, mais c'est dangereux si php le fait
> déjà (magic_qoutes_gpc, activé par default en php.ini). Alors, je
> pense que c'est mieux de créer un fonction doli_addslashes avec le
> code suivante:
>
> function doli_addslashes ($string) {
> return (! get_magic_quotes_gpc ()) ? addslashes ($string) :
> $string;
> }
Je vais plutôt faire une autre proposition, basée sur ta remarque...
Étant donné que le but est finalement de mettre la string dans la DB
tout en évitant qu'elle ne crée des problèmes d'injection, est-ce qu'on
ne rajouterait pas une méthode dans les classes DB dans
htdocs/lib/databases/ qui échappent les string à la manière de chaque
DB?
Par exemple, on ajouterait la méthode escape_string() dans chaque
connecteur DB et pour MySQL, ce serait
function escape_string($string)
{
return mysql_real_escape_string($string);
}
Celle-là je veux bien l'ajouter tout de suite dans les trois classes DB
et changer mes addslashes().
Yannick
_______________________________________________
Dolibarr-dev mailing list
Dolibarr-dev@nongnu.org
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
