Mysql_real_escape_string e database

**alex1986** · 27-02-2009, 03:24

Salve, dopo svariati tentativi ho deciso di proporvi questo problema:

ho una pagina in cui dei valori postati vengono formattati con la funzione mysql_real_escape_string..necessaria credo per evitare possibili sql injection!!!

Quando successivamente inserisco il valore nel db, per esempio se la variabile conteneva l', nel db viene salvata come l(slash)'...

ho notato però che in un recente sito che avevo costruito, sempre utilizzando la funzione citata, facendo la stessa prova mi veniva salvato senza slash!!!

Perchè?? Eppure i 2 codici sono uguali...è una questione di charset??

quando richiamo il valore dal db come posso fare per eliminare lo slash?? esiste una funzione inversa??

grazie per l'attenzione!!!

**alex1986** · 27-02-2009, 03:29

ok la funzione che cerco è stripslashes()

che stupido che sono...

però per quanto riguarda la prima domanda?? come mai nell' altro sito non mi mette gli slash nonostante usi mysql_real_escape_string??

**filippo.toso** · 27-02-2009, 09:50

Originariamente inviato da alex1986
come mai nell' altro sito non mi mette gli slash nonostante usi mysql_real_escape_string??

Se applichi var_dump() al valore restituito da mysql_real_escape_string(), che cosa ottieni?

**alex1986** · 27-02-2009, 13:18

nulla

non stampa nulla!!!

è un male?

**filippo.toso** · 27-02-2009, 13:22

Originariamente inviato da alex1986
nulla

non stampa nulla!!!

è un male?

E' improbabile che var_dump() NON stampi nulla...

**alex1986** · 27-02-2009, 14:41

ah no avevo sbagliato io

stampa questo:

string(3) "l(slash)'"

lo slash c'è..però nel db non lo salva con lo slash

**filippo.toso** · 27-02-2009, 14:43

Originariamente inviato da alex1986
lo slash c'è..però nel db non lo salva con lo slash

Come fai a dirlo?

Non è che controlli la cosa tramite, che so, phpMyAdmin, vero?

**alex1986** · 27-02-2009, 15:21

sì, uso phpmyadmin

il fatto è che quando poi da db ristampo il valore senza utilizzare stripslashes() mi omette gli slashes comunque, quindi sembra non ci siano proprio, però cavolo dovrebbero esserci perchè uso mysql_real_escape_string()

e inoltre, nell' altro sito, sempre usando phpmyadmin, le slash invece vengono visualizzate!!!

**filippo.toso** · 27-02-2009, 15:24

Originariamente inviato da alex1986
sì, uso phpmyadmin

Allora è ovvio che tu "non li veda". Se ne occupa phpMyAdmin di eliminarli.

Originariamente inviato da alex1986
il fatto è che quando poi da db ristampo il valore senza utilizzare stripslashes() mi omette gli slashes comunque

Che codice usi per estrarre i dati dal database?

**alex1986** · 27-02-2009, 17:30

uso una semplice query del tipo:

Codice PHP:


$query="SELECT title, author, texture FROM article WHERE title='$titolo'";

boh...mistero..

Discussione: Mysql_real_escape_string e database

Strumenti discussione

Ricerca discussione

Visualizza

Mysql_real_escape_string e database

Permessi di invio