devoir "quoter" les entrées de sql_update ?

illwieckz

Septembre 2012

Bonjour, j’ai migré vers spip2.1 un plugin maison que je n’ai pas développé. J’ai donc remplacé tous les spip_query par des sql_select ou des sql_update etc.

J’ai un problème avec sql_update, ce que je doit faire pour que ça fonctionne ne correspond pas à la documentation.

La documentation me dit de faire :

sql_update('table', array('colonne' => sql_quote($valeur)));

moi je dois faire

sql_update('table', array('colonne' =>"'".sql_quote($valeur)."'"));

c’est à dire que je dois explicitement entourer mes valeurs de simple quotes (evidemment après avoir échapé celles contenu dans la variable, pas avant), en d’autres termes, je suis obligé d’imaginer la requête SQL que sql_update est sensée écrire pour moi.

Est-ce normal ?

[note : la version de spip est 2.1.12 et le gestionnaire de base de donnée est mySQL]

Par note Par date Par date chronologique

Indiquez l’intérêt que vous portez à cette réponse

0

amilcar

Septembre 2017

Plusieurs failles de sécurité sont sur la version spip cités
voir : https://contrib.spip.net/SPIP-1-9-2n-2-0-17-2-1-12-disponibles

de plus il est dommage que le plugin maison soit pas sur la zone

Donc migré votre spip sur une version a jour, dites nous en un peu plus sur votre plugin si possible.

le sujet datant je le passe donc en résolu ... ;)