[Conception] Echappement de caractères

[nicoaix]

Bonjour,

Petit problème avec stripslashes et addslashes.

Mon objectif est d'afficher un formulaire avec un champ de texte contenant une chaîne de caractères issue d'une base de données, afin de permettre à l'utilisateur de modifier cette chaîne pour mettre à jour ce champ dans la base de données.

Pour cela dans le code j'utilise :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type='text' name='texte' value="".stripslashes($variable)."">

Puis un peu plus loin je lance ma requête de mise à jour:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$post_texte = addslashes($_POST['texte']);
 
$sql_update = "UPDATE table SET var = '".$post_texte."' WHERE ...";
$req_update = mysql_query($sql_update) or die('Erreur SQL : <br />'.$sql_update);

Le problème c'est que dans le champ de texte du formulaire s'il y a une double cote, la chaîne de caractère s'arrête à celle-ci, bien que la chaine dans la base soit complète.

Exemple : Soit la chaine suivante:
Test de la chaine "chaine"

Dans la base de données, celle-ci est bien sous la forme:
Test de la chaine \"chaine\"

Mais dans le champ de texte il s'affiche:
Test de la chaine

Je précise que tout fonctionne bien avec les simples cotes.
Quelqu'un peut-il me dire comment faire pour prendre en compte les doubles cotes?

Merci.

[Mr N.]

Normalement dans ta base de données tu devrais avoir "chaine" et pas \"chaine\". En fait tu appliques deux fois addslashes de suite ce qui fait que tes données sont doublement échappées. (une fois à cause de magic_quotes_gpc=on et une fois avec addslashes)

Ensuite, pour afficher dans un input, généralement je fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($valeur, ENT_QUOTES)

[Yogui]

Salut

En effet, le problème se situe à l'affichage : je présume que les guillemets de ta chaîne entrent en conflit avec les guilllemets qui délimitent la propriété "value" de ton <input type="text">.

Au passage : jette un oeil sur mysql_real_escape_string() et ici :
http://shiflett.org/archive/184


[Edit]
@Mr N. : Si si, il doit bel et bien avoir \"chaîne\" dans le champ de son tuple. Non, il n'applique pas 2 fois addslashes() mais bien une seule fois.

[Mr N.]

Comment tu sais que addslashes n'a pas été appliqué deux fois ? Tu connais sa config ? Je parie qu'il a magic_quote_gpc = on donc addslashes + addslashes = 2 addslashes

Et dans une base de données on ne se trimbale pas des caractères d'échappement qui servent seulement à construire une requête donc on ne doit pas avoir \" ou \' une fois les données dans la base.

Donc le problème se situe à l"affichage *et* au stockage

[Yogui]

Oui, bon j'étais pas en forme. Certes, je ne connais pas sa config.

Cela dit, il me semble que stripslashes() intervient systématiquement pour une raison simple : les antislashes sont bel et bien enregistrés dans la BDD.

nicoaix n'a pas de \\\" dans sa base, c'est ce qui me fait dire qu'il n'a pas les magic quotes à ON.

[Mr N.]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
je tape "chaine"                                                  ===> "chaine"
magic_quotes_gpc                                                  ===> \"chaine\"
addslashes                                                        ===> \\\"chaine\\\"
construction de "UPDATE ... SET var = '\\\"chaine\\\"' WHERE ..." ===> UPDATE ... SET var = '\"chaine\"' WHERE ...
dans la db                                                        ===> \"chaine\"

C'est plus clair là :

[Yogui]

Hmmm, après tests, oui.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
CREATE TABLE `test` (
  `id` int(11) NOT NULL auto_increment,
  `name` varchar(25) NOT NULL default '',
  PRIMARY KEY  (`id`)
)

Citation:

<?php

mysql_connect('localhost', 'root', '');
mysql_select_db('test');

$sql = 'INSERT INTO `test` (`name`) VALUES ("\'bouh\'")';

mysql_query($sql)
   or die(mysql_error());

$sql = 'SELECT `id`, `name` FROM `test` ORDER BY `id` DESC LIMIT 1';
$result = mysql_query($sql);
$row = mysql_fetch_assoc($result);

echo $row['id'].' : '.htmlentities($row['name']);

?>

Colorez votre code PHP sur les forums grâce à Developpez.com
=> 'bouh'

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'INSERT INTO `test` (`name`) VALUES ("\\\'bouh\\\'")'

=> 'bouh'

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'INSERT INTO `test` (`name`) VALUES ("\\\\\'bouh\\\\\'")'

=> \'bouh\'

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"INSERT INTO `test` (`name`) VALUES ('\'bouh\'')"

=> 'bouh'

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"INSERT INTO `test` (`name`) VALUES ("\\\'bouh\\\'")"

=> SQL syntax error

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"INSERT INTO `test` (`name`) VALUES ("\\\\\'bouh\\\\\'")"

=> \'bouh\'