Discussion :

[voyageurdumonde]

Bonjour,

j'utilise addslashes pour proteger des informations qui sont entrees dans une textarea.

mais si j'ecris

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="image" name="Submit"   src="miseajourprofil.png" value="Enregistrement" alt="Submit">

Il va afficher un bouton lorsque je vais executer la page.

avec mysql_real_escape_string il va creer un champs input avec \"Enregistrement\" dedans

Je voudrais faire la meme chose que sur ce forum ou aucun code ne s'execute mais je n'ai pas trouve comment faire!

Merci de votre aide

[voyageurdumonde]

Ok j'ai trouve, j'utilise la fonction htmlspecialchars puis la fonction addslashes. Cela est-il suffisant?

[Invité]

Bonjour,
lis cette discussion : textarea et faille xss

[tho.feron]

Bonjour,

Pour afficher dans une page HTML -> htmlentities().
Pour mettre dans une requête SQL -> mysql_real_escape_string().

On n'échappe jamais un caractère avec un backslash(\) en HTML !
" ne devient pas \" mais bien "

Cordialement,
Thomas Feron.

[voyageurdumonde]

Merci pour ces conseils

[ABCIWEB]

Bonjour,
Pour afficher dans une page HTML -> htmlentities().

Juste au passage, je préfère utiliser htmlspecialchars. D'une part c'est suffisant mais surtout on a pas à spécifier l'encodage si on travaille en utf-8 (on peut le spécifier mais il se trouve qu'entre l'iso et l'utf-8 il n'y a pas de différence pour les caractères concernés par htmlspecialchars).