Proteger contre injection avec addslashes [Résolu]

voyageurdumonde · 05/09/2011, 07h06

Bonjour,

j'utilise addslashes pour proteger des informations qui sont entrees dans une textarea.

mais si j'ecris

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="image" name="Submit"   src="miseajourprofil.png" value="Enregistrement" alt="Submit">

Il va afficher un bouton lorsque je vais executer la page.

avec mysql_real_escape_string il va creer un champs input avec \"Enregistrement\" dedans

Je voudrais faire la meme chose que sur ce forum ou aucun code ne s'execute mais je n'ai pas trouve comment faire!

Merci de votre aide

voyageurdumonde · 05/09/2011, 16h44

Ok j'ai trouve, j'utilise la fonction htmlspecialchars puis la fonction addslashes. Cela est-il suffisant?

jreaux62 · 05/09/2011, 23h15

Bonjour,
lis cette discussion : textarea et faille xss

tho.feron · 06/09/2011, 00h18

Bonjour,

Pour afficher dans une page HTML -> htmlentities().
Pour mettre dans une requête SQL -> mysql_real_escape_string().

On n'échappe jamais un caractère avec un backslash(\) en HTML !
" ne devient pas \" mais bien "

Cordialement,
Thomas Feron.

voyageurdumonde · 06/09/2011, 04h13

Merci pour ces conseils

ABCIWEB · 06/09/2011, 20h36

Citation:

Envoyé par tho.feron

Bonjour,
Pour afficher dans une page HTML -> htmlentities().

Juste au passage, je préfère utiliser htmlspecialchars. D'une part c'est suffisant mais surtout on a pas à spécifier l'encodage si on travaille en utf-8 (on peut le spécifier mais il se trouve qu'entre l'iso et l'utf-8 il n'y a pas de différence pour les caractères concernés par htmlspecialchars).

05/09/2011, 07h06	#1
voyageurdumonde Membre habitué Inscription : décembre 2007 Messages : 392 Détails du profil Informations personnelles : Localisation : Canada Informations forums : Inscription : décembre 2007 Messages : 392 Points : 118 Points : 118	Proteger contre injection avec addslashes Bonjour, j'utilise addslashes pour proteger des informations qui sont entrees dans une textarea. mais si j'ecris Code : Sélectionner tout - Visualiser dans une fenêtre à part <input type="image" name="Submit" src="miseajourprofil.png" value="Enregistrement" alt="Submit"> Il va afficher un bouton lorsque je vais executer la page. avec mysql_real_escape_string il va creer un champs input avec \"Enregistrement\" dedans Je voudrais faire la meme chose que sur ce forum ou aucun code ne s'execute mais je n'ai pas trouve comment faire! Merci de votre aide
	00

05/09/2011, 23h15	#3
jreaux62 Rédacteur Jérôme Réaux Webdesigner Inscription : août 2008 Messages : 2 993 Détails du profil Informations personnelles : Nom : Jérôme Réaux Âge : 45 Localisation : France, Pas de Calais (Nord Pas de Calais) Informations professionnelles : Activité : Webdesigner Secteur : Arts - Culture Informations forums : Inscription : août 2008 Messages : 2 993 Points : 5 786 Points : 5 786	Bonjour, lis cette discussion : textarea et faille xss __________________ "Ce qui se conçoit bien s'énonce clairement - Et les mots pour le dire arrivent aisément." Nicolas Boileau-Despréaux, Homme de lettres français (1636-1711), principal théoricien de l'esthétique classique. Site perso Mes tutos DVP : Gestion-Affichage de Nouvelles - Affichage en tableau HTML - Fonctions de redimensionnement d'images
	00

06/09/2011, 00h18	#4
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Pour afficher dans une page HTML -> htmlentities(). Pour mettre dans une requête SQL -> mysql_real_escape_string(). On n'échappe jamais un caractère avec un backslash(\) en HTML ! " ne devient pas \" mais bien " Cordialement, Thomas Feron. __________________ LF Création, votre site web tout-en-un.
	00

05/09/2011, 16h44	#2
voyageurdumonde Membre habitué Inscription : décembre 2007 Messages : 392 Détails du profil Informations personnelles : Localisation : Canada Informations forums : Inscription : décembre 2007 Messages : 392 Points : 118 Points : 118	Ok j'ai trouve, j'utilise la fonction htmlspecialchars puis la fonction addslashes. Cela est-il suffisant?
	00

06/09/2011, 04h13	#5
voyageurdumonde Membre habitué Inscription : décembre 2007 Messages : 392 Détails du profil Informations personnelles : Localisation : Canada Informations forums : Inscription : décembre 2007 Messages : 392 Points : 118 Points : 118	Merci pour ces conseils
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email