Depreciation de mysql_escape_string

[blackheaven]

Rapidement, on est passé à PHP 5.4.10, mysql_escape_string est déprécié du coups il y a presque tout qui plante. Voilà comment le remplacer : Dans commun/php/bd.inc.php :

public static function Protect($s)
{
    return self::GetConnection()->quote($s);
}

Ensuite il suffit de faire un s&r de mysql_escape_string par DB:::Protect, et de faire un grep pour remplacer les DB:::Protect autour des ID par un (int) $_GET['id'], et le tour est joué. Deux autres petits conseils :

• Ne protégez que dans les contrôleurs (par dans les modèles/AR)
• passer toujours par des requêtes préparés, ça évite d'avoir à protéger les entrées (par un quote ou un protect par exemple.

PS : j'ai commencé à hotfixer en prod' mais c'est à jeter, je suis loin de chez moi et j'ai très peu de temps, désolé.

[blackheaven]

Typiquement, au point de vue de la sécurité c'est simple :

• Des requêtes préparées
• htmlspecialchars UTF-8 sur tous les echo

[benjaminplanche]

J'aime le PHP autant que je suis doué pour ... Je préfère laisser ça à ceux qui gèrent, sauf si vraiment y a urgence.

[blackheaven]

pas de soucis, je ferais une PR jeudi