Le mardi 16 janvier 2007 à 12:36 +0000, Yannick Warnier a écrit :
> Le mardi 16 janvier 2007 à 13:10 +0100, Franky Van Liedekerke a écrit :
> >
> > Yannick,
> >
> > j'ai vu que tu utilise addslashes, mais c'est dangereux si php le fait
> > déjà (magic_qoutes_gpc, activé par default en php.ini). Alors, je
> > pense que c'est mieux de créer un fonction doli_addslashes avec le
> > code suivante:
> >
> > function doli_addslashes ($string) {
> > return (! get_magic_quotes_gpc ()) ? addslashes ($string) :
> > $string;
> > }
>
> Je vais plutôt faire une autre proposition, basée sur ta remarque...
>
> Étant donné que le but est finalement de mettre la string dans la DB
> tout en évitant qu'elle ne crée des problèmes d'injection, est-ce qu'on
> ne rajouterait pas une méthode dans les classes DB dans
> htdocs/lib/databases/ qui échappent les string à la manière de chaque
> DB?
>
> Par exemple, on ajouterait la méthode escape_string() dans chaque
> connecteur DB et pour MySQL, ce serait
>
> function escape_string($string)
> {
> return mysql_real_escape_string($string);
> }
>
> Celle-là je veux bien l'ajouter tout de suite dans les trois classes DB
> et changer mes addslashes().
Bon et voilà, mes changements sont prêts mais pas soumis. J'attends ce
soir pour voir s'il y a des objections avant de soumettre.
Yannick
_______________________________________________
Dolibarr-dev mailing list
Dolibarr-dev@nongnu.org
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
