dolibarr-dev
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-dev] Bravo pour le module associations,

From: Yannick Warnier
Subject: Re: [Dolibarr-dev] Bravo pour le module associations,
Date: Tue, 16 Jan 2007 13:32:43 +0000 
Le mardi 16 janvier 2007 à 12:36 +0000, Yannick Warnier a écrit :
> Le mardi 16 janvier 2007 à 13:10 +0100, Franky Van Liedekerke a écrit :
> > 
> > Yannick,
> > 
> > j'ai vu que tu utilise addslashes, mais c'est dangereux si php le fait
> > déjà (magic_qoutes_gpc, activé par default en php.ini). Alors, je
> > pense que c'est mieux de créer un fonction doli_addslashes avec le
> > code suivante:
> > 
> > function doli_addslashes ($string) {
> >    return (! get_magic_quotes_gpc ()) ? addslashes ($string) :
> > $string;
> > }
> 
> Je vais plutôt faire une autre proposition, basée sur ta remarque...
> 
> Étant donné que le but est finalement de mettre la string dans la DB
> tout en évitant qu'elle ne crée des problèmes d'injection, est-ce qu'on
> ne rajouterait pas une méthode dans les classes DB dans
> htdocs/lib/databases/ qui échappent les string à la manière de chaque
> DB?
> 
> Par exemple, on ajouterait la méthode escape_string() dans chaque
> connecteur DB et pour MySQL, ce serait
> 
> function escape_string($string) 
> {
>   return mysql_real_escape_string($string);
> }
> 
> Celle-là je veux bien l'ajouter tout de suite dans les trois classes DB
> et changer mes addslashes().

Bon et voilà, mes changements sont prêts mais pas soumis. J'attends ce
soir pour voir s'il y a des objections avant de soumettre.

Yannick
reply via email to
[Prev in Thread] Current Thread [Next in Thread]