mysqli_real_escape_string()

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [RÉGLÉ] mysqli_real_escape_string()

    Bonjour,

    j'ai un souci avec la fonction mysqli_real_escape_string($connexion, $chaine), le parametre 1 doit être la connexion bdd et je n'ai bien sur pas envie de faire une connexion bdd classique tel que :

    Code PHP:
    $connexion mysqli_connect("localhost""user""pass""nom"); 

    J'effectue la connexion à la bdd via la fonction Joomla :

    Code PHP:
    $db JFactory::getDBO(); 

    Mais dans ce cas, comment puis-je écrire le paramètre 1 ?
    J'ai vu pas mal de post français ou anglais sur le sujet mais tous obsolètes depuis la sortie des nouvelles versions joomla 3 ou php 7.
    J'ai essayé pas mal de fonctions joomla que j'ai pu trouver un peu partout, je n'ai pas trouvé la solution.
    Quelle est la façon la plus simple et efficace de sécuriser ma bdd sans afficher une connexion sale dans mes fichiers ?

    Merci d'avance
    Tags: Aucun
  • #2
    Bonjour,

    Sans garanti, mais si j'étais toi, je regarderai du coté de
    404 Not Found
    https://api.joomla.org/cms-3/classes/JDatabaseDriver.html#method_getInstance


    Code PHP:
        /**
         * Method to return a JDatabaseDriver instance based on the given options.  There are three global options and then
         * the rest are specific to the database driver.  The 'driver' option defines which JDatabaseDriver class is
         * used for the connection -- the default is 'mysqli'.  The 'database' option determines which database is to
         * be used for the connection.  The 'select' option determines whether the connector should automatically select
         * the chosen database.
         *
         * Instances are unique to the given options and new objects are only created when a unique options array is
         * passed into the method.  This ensures that we don't end up with unnecessary database connection resources.
         *
         * @param   array  $options  Parameters to be passed to the database driver.
         *
         * @return  JDatabaseDriver  A database object.
         *
         * [USER="57695"]since[/USER]   11.1
         * @throws  RuntimeException
         */
            public static function getInstance($options = array())
        {
                // Sanitize the database connector options.
                $options['driver']   = (isset($options['driver'])) ? preg_replace('/[^A-Z0-9_\.-]/i'''$options['driver']) : 'mysqli';
                $options['database'] = (isset($options['database'])) ? $options['database'] : null;
                $options['select']   = (isset($options['select'])) ? $options['select'] : true

    Ce qui dois donner quelque chose comme :

    Code PHP:
    $db JFactory::getDBO();
    $options = array("database" => "ma_table");
    $db->getInstance($options); 

    Commentaire

    • #3
      Bonjour,

      merci pour ta réponse, mais je ne vois pas trop comment remplir le paramètre $connexion de ma fonction mysqli_real_escape_string($connexion, $chaine)

      Je suis très peu orienté objet, mais plus procédural, bien obligée de me servir des objets Joomla bien souvent mais sans trop d'enthousiasme, je dois encore travailler sur le style objet avant de m'en servir vraiment

      Commentaire

      • #4
        Bonjour,

        Finalement, j'ai l'impression que j'ai mal compris ta question. Que souhaites tu faire exactement ?
        Une requête sur la base de données du site ou une requête sur une autre base de données ?

        Commentaire

        • #5
          Bonjour,

          je souhaite juste sécuriser toutes les chaines de caractère provenant de mes formulaires avec la fonction mysqli_real_escape_string() avant d'insérer les données dans la bdd déjà liée au joomla.

          Il me manque juste le paramètre 1 de la fonction qui pourrait être ma variable $connexion si j'écris ceci avant :
          Code PHP:
          $connexion mysqli_connect("localhost""user""pass""nom"); 
          Mais c'est sale, je ne veux pas faire apparaître les infos de connexion de la bdd sur les fichiers php, d'ou l'utilisation de
          Code PHP:
          $db JFactory::getDBO(); 
          Pour la connexion bdd.

          Le seul souci c'est que ma fonction mysqli_real_escape_string() ne fonctionne pas avec $db en paramètre 1 comme ceci :
          Code PHP:
          $chaine mysqli_real_escape_string($db$chaine); 

          Commentaire

          • #6
            Ok.
            Pour cela inspire toi de :
            Insertion, mise à Jour et suppression de données à l'aide de JDatabase - Joomla! Documentation
            https://docs.joomla.org/Inserting,_Updating_and_Removing_data_using_JDatabase/fr


            La méthode quoteName doit répondre à ta demande :
            404 Not Found
            https://api.joomla.org/cms-3/classes/JDatabaseQuery.html#method_quoteName

            Commentaire

            • #7
              Le premier lien ne parle pas de sécurité de requête, mais juste de requêtes, je fais déjà les miennes de cette manière.
              La méthode quoteName enveloppe juste les chaînes de guillemets, elles n'échappent pas les caractères sensibles des requêtes SQL tel que le fait la fonction mysqli_real_escape_string().

              Je ne cherche pas à remplacer la fonction mysqli_real_escape_string() par une autre, sinon je me contenterais d'un addslashes(), c'est gentil à toi, mais je cherche juste une chose, une solution pour compléter le paramètre 1 de la fonction mysqli_real_escape_string()

              Commentaire

              • #8
                Oui, en effet, c'est la fonction $db->escape qui fait ce que tu demandes :

                Code PHP:
                    /**
                     * Method to escape a string for usage in an SQL statement.
                     *
                     * @param   string   $text   The string to be escaped.
                     * @param   boolean  $extra  Optional parameter to provide extra escaping.
                     *
                     * @return  string  The escaped string.
                     *
                     * [USER="57695"]since[/USER]   12.1
                     */
                                    public function escape($text$extra false)
                    {
                                        $this->connect();

                                        $result mysqli_real_escape_string($this->getConnection(), $text);

                        if (                $extra)
                        {
                                            $result addcslashes($result'%_');
                        }

                        return                 $result;
                    } 

                Commentaire

                • #9
                  Par contre, j'ai approfondi mais recherches et la fonction quote appel bien la function escape donc il suffit d'applique ce qu'il y a dans :
                  https://docs.joomla.org/Inserting,_U...g_JDatabase/fr

                  Et Joomla s'occupe du reste.

                  Pour info : la fonction quote
                  Code PHP:
                      /**
                       * Quotes and optionally escapes a string to database requirements for use in database queries.
                       *
                       * @param   mixed    $text    A string or an array of strings to quote.
                       * @param   boolean  $escape  True (default) to escape the string, false to leave it unchanged.
                       *
                       * @return  string  The quoted input string.
                       *
                       * @note    Accepting an array of strings was added in 12.3.
                       * [USER="57695"]since[/USER]   11.1
                       */
                                        public function quote($text$escape true)
                      {
                          if (                  is_array($text))
                          {
                              foreach (                  $text as $k => $v)
                              {
                                                    $text[$k] = $this->quote($v$escape);
                              }

                              return                   $text;
                          }
                          else
                          {
                              return                   '\'' . ($escape $this->escape($text) : $text) . '\'';
                          }
                      } 
                  Minie aime ceci.
                  • "J'aime" 1

                  Commentaire

                  • #10
                    Ah voila, merci, la fonction escape est exactement ce que je cherchais

                    Merci à toi, le sujet est donc réglé.

                    Commentaire

                    Précédent template Suivant

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire
                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X