mysqli_real_escape_string()

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] mysqli_real_escape_string()

    Bonjour,

    j'ai un souci avec la fonction mysqli_real_escape_string($connexion, $chaine), le parametre 1 doit être la connexion bdd et je n'ai bien sur pas envie de faire une connexion bdd classique tel que :

    Code PHP:
    $connexion mysqli_connect("localhost""user""pass""nom"); 

    J'effectue la connexion à la bdd via la fonction Joomla :

    Code PHP:
    $db JFactory::getDBO(); 

    Mais dans ce cas, comment puis-je écrire le paramètre 1 ?
    J'ai vu pas mal de post français ou anglais sur le sujet mais tous obsolètes depuis la sortie des nouvelles versions joomla 3 ou php 7.
    J'ai essayé pas mal de fonctions joomla que j'ai pu trouver un peu partout, je n'ai pas trouvé la solution.
    Quelle est la façon la plus simple et efficace de sécuriser ma bdd sans afficher une connexion sale dans mes fichiers ?

    Merci d'avance

  • #2
    Bonjour,

    Sans garanti, mais si j'étais toi, je regarderai du coté de
    https://api.joomla.org/cms-3/classes...od_getInstance

    Code PHP:
        /**
         * Method to return a JDatabaseDriver instance based on the given options.  There are three global options and then
         * the rest are specific to the database driver.  The 'driver' option defines which JDatabaseDriver class is
         * used for the connection -- the default is 'mysqli'.  The 'database' option determines which database is to
         * be used for the connection.  The 'select' option determines whether the connector should automatically select
         * the chosen database.
         *
         * Instances are unique to the given options and new objects are only created when a unique options array is
         * passed into the method.  This ensures that we don't end up with unnecessary database connection resources.
         *
         * @param   array  $options  Parameters to be passed to the database driver.
         *
         * @return  JDatabaseDriver  A database object.
         *
         * [USER="57695"]since[/USER]   11.1
         * @throws  RuntimeException
         */
        
    public static function getInstance($options = array())
        {
            
    // Sanitize the database connector options.
            
    $options['driver']   = (isset($options['driver'])) ? preg_replace('/[^A-Z0-9_\.-]/i'''$options['driver']) : 'mysqli';
            
    $options['database'] = (isset($options['database'])) ? $options['database'] : null;
            
    $options['select']   = (isset($options['select'])) ? $options['select'] : true

    Ce qui dois donner quelque chose comme :

    Code PHP:
    $db JFactory::getDBO();
    $options = array("database" => "ma_table");
    $db->getInstance($options); 

    Commentaire


    • #3
      Bonjour,

      merci pour ta réponse, mais je ne vois pas trop comment remplir le paramètre $connexion de ma fonction mysqli_real_escape_string($connexion, $chaine)

      Je suis très peu orienté objet, mais plus procédural, bien obligée de me servir des objets Joomla bien souvent mais sans trop d'enthousiasme, je dois encore travailler sur le style objet avant de m'en servir vraiment

      Commentaire


      • #4
        Bonjour,

        Finalement, j'ai l'impression que j'ai mal compris ta question. Que souhaites tu faire exactement ?
        Une requête sur la base de données du site ou une requête sur une autre base de données ?

        Commentaire


        • #5
          Bonjour,

          je souhaite juste sécuriser toutes les chaines de caractère provenant de mes formulaires avec la fonction mysqli_real_escape_string() avant d'insérer les données dans la bdd déjà liée au joomla.

          Il me manque juste le paramètre 1 de la fonction qui pourrait être ma variable $connexion si j'écris ceci avant :
          Code PHP:
          $connexion mysqli_connect("localhost""user""pass""nom"); 
          Mais c'est sale, je ne veux pas faire apparaître les infos de connexion de la bdd sur les fichiers php, d'ou l'utilisation de
          Code PHP:
          $db JFactory::getDBO(); 
          Pour la connexion bdd.

          Le seul souci c'est que ma fonction mysqli_real_escape_string() ne fonctionne pas avec $db en paramètre 1 comme ceci :
          Code PHP:
          $chaine mysqli_real_escape_string($db$chaine); 

          Commentaire


          • #6
            Ok.
            Pour cela inspire toi de :
            https://docs.joomla.org/Inserting,_U...g_JDatabase/fr

            La méthode quoteName doit répondre à ta demande :
            https://api.joomla.org/cms-3/classes...thod_quoteName

            Commentaire


            • #7
              Le premier lien ne parle pas de sécurité de requête, mais juste de requêtes, je fais déjà les miennes de cette manière.
              La méthode quoteName enveloppe juste les chaînes de guillemets, elles n'échappent pas les caractères sensibles des requêtes SQL tel que le fait la fonction mysqli_real_escape_string().

              Je ne cherche pas à remplacer la fonction mysqli_real_escape_string() par une autre, sinon je me contenterais d'un addslashes(), c'est gentil à toi, mais je cherche juste une chose, une solution pour compléter le paramètre 1 de la fonction mysqli_real_escape_string()

              Commentaire


              • #8
                Oui, en effet, c'est la fonction $db->escape qui fait ce que tu demandes :

                Code PHP:
                    /**
                     * Method to escape a string for usage in an SQL statement.
                     *
                     * @param   string   $text   The string to be escaped.
                     * @param   boolean  $extra  Optional parameter to provide extra escaping.
                     *
                     * @return  string  The escaped string.
                     *
                     * [USER="57695"]since[/USER]   12.1
                     */
                    
                public function escape($text$extra false)
                    {
                        
                $this->connect();

                        
                $result mysqli_real_escape_string($this->getConnection(), $text);

                        if (
                $extra)
                        {
                            
                $result addcslashes($result'%_');
                        }

                        return 
                $result;
                    } 

                Commentaire


                • #9
                  Par contre, j'ai approfondi mais recherches et la fonction quote appel bien la function escape donc il suffit d'applique ce qu'il y a dans :
                  https://docs.joomla.org/Inserting,_U...g_JDatabase/fr

                  Et Joomla s'occupe du reste.

                  Pour info : la fonction quote
                  Code PHP:
                      /**
                       * Quotes and optionally escapes a string to database requirements for use in database queries.
                       *
                       * @param   mixed    $text    A string or an array of strings to quote.
                       * @param   boolean  $escape  True (default) to escape the string, false to leave it unchanged.
                       *
                       * @return  string  The quoted input string.
                       *
                       * @note    Accepting an array of strings was added in 12.3.
                       * [USER="57695"]since[/USER]   11.1
                       */
                      
                  public function quote($text$escape true)
                      {
                          if (
                  is_array($text))
                          {
                              foreach (
                  $text as $k => $v)
                              {
                                  
                  $text[$k] = $this->quote($v$escape);
                              }

                              return 
                  $text;
                          }
                          else
                          {
                              return 
                  '\'' . ($escape $this->escape($text) : $text) . '\'';
                          }
                      } 
                  Minie aime ceci.

                  Commentaire


                  • #10
                    Ah voila, merci, la fonction escape est exactement ce que je cherchais

                    Merci à toi, le sujet est donc réglé.

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X