Delcedo PHPLib
Manuel

get_sql

Renvoie la valeur contenue dans l'objet OString pour être compatible avec une utilisation dans MySQL

Description
string get_sql ( void )
Valeur de retour
string

Les caractères spécifiques à MySQL sont remplacés par leurs correspondances. C'est la fonction mysql_real_escape_string qui est utilisé.

Pour pouvoir être utilisé, une connexion à une base de donnée doit déjà être ouverte.

Exemple
<?php

mysql_connect
("localhost""login""mdp""bdd");

$pseudonyme "toto";
$mot_de_passe "' OR '' = '";

$login = new OString($pseudonymetrue);
$mdp = new OString($mot_de_passetrue);

// Requête protégée :
echo "SELECT * FROM users WHERE login = '".$login->get_sql()."' AND mdp = '".$mdp->get_sql()."'";
// SELECT * FROM users WHERE login = 'toto' AND mdp = '\' OR \'\' = \''


// Sans l'utilisation de la classe OString, requête non protégée :
echo "SELECT * FROM users WHERE login = '".$pseudonyme."' AND mdp = '".$mot_de_passe."'";
// SELECT * FROM users WHERE login = 'toto' AND mdp = '' OR '' = ''

?>
Delcedo.com | Creative Commons License