Discussion :

[kint13]

Bonjour,

J'ai lu un paquet de topics, mais toujours pas ma réponse...

Sur le site sur lequel je travaille, j'utilise après vérification (regex) des POST dans les formulaires, la fonction mysql_real_escape_string comme cela est préconisé.
De ce fait j'enregistre en base avec des caractères échappés, cela me permet d'éviter les injonctions en bdd (apostrophe non bloqué dans la regex...)
1) Est-ce bien le traitement "classique", "sécu"?

Une fois stockée en bdd, ou dans des sessions, pour afficher ces dernières variables stockées (via la fonction mysql_real_escape_string),
J'utilise la fonction stripslashes pour retirer les slashes indésirés.
2) Est-ce bien 'affichage "classique", "sécu", pour pallier la présence de slashes dans ces variables?

3)
Enfin je souhaiterais utiliser (aussi) la fonction htmlspecialchars pour l'ensemble de mes echo/affichage ce qui me semble être aussi préconisé.
Le problème est que cette dernière fonction ne me permet pas d'afficher les variable décrite ci-dessus (précédemment stockée avec la fonction mysql_real_escape_string) et cela qu'un caractère ai été échappé... ou non....
Ce comportement est indifférent lorsque j'enlève la fonction stripslashes...

Il y a t-il un rapport avec l'encodage et l'interprétation que fait le navigateur (pourtant indifférent sur les 3 principaux)

je ne comprends pas? Pourriez-vous, s'il-vous-plait, m'aider?? m'éclairer?
Je vous remercie

[laurentSc]

tu utilises les fonction MySQL_xxx ; intéresse-toi plutôt à PDO et plus besoin de protéger les données avant enregistrement dans la bdd ; c'est de base (et de plus MySQL_xxx est déprécié)

[kint13]

Le problème était bien lié à l'encodage!!