Discussion :

[PadawanInPerl]

Bonjour,

Je souhaite entrée dans un champ texte mysql du code html.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<b>mon</b> exemple<br/>merci

je ne parviens pas à l'interpréter dans ma page !

mon exemple
merci

Encore un classique je pense

[sabotage]

Tu n'utiliserai pas des fonctions comme htmlspecialchars() ou htmlentities() ?

[PadawanInPerl]

Hello merci pour ta réponse.

j'ai ré-essayé les deux...

mais non.

[callapa]

Tu transformes le code HTML avant insertion dans la base avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($mon_texte_html, ENT_QUOTES)

et pour afficher les données depuis la base de données tu décodes le texte avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

html_entity_decode($mon_texte_html_encode_provenant_de_la_base)

[sabotage]

Quand je disais "tu n'utiliserai pas ? ", ça voulait dire qu'il ne faut pas le faire, ni encodage, ni decodage.

[Celira]

@Callapa : en fait non. La base de donnée se moque éperdument du fait que ton champ contient du HTML. Là où il faut faire gaffe, c'est si tu stockes du SQL dedans.
Il faut aussi faire attention au code HTML lorsqu'on l'affiche : ce n'est pas une bonne idée de laisser s'exécuter ce genre de choses :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<script type="text/javascript">
while(true) {
    alert('pwned!');   
}
</script>

@PadawanInPerl : On peut voir le code qui enregistre et le code qui affiche ?

[PadawanInPerl]

Merci pour vos réponses !

il faut savoir... en fait ... que

j'entre le html à la main dans phpmyadmin.

je récupère via ajax puis l'affiche dans un div.

ça peut vous paraitre bizarre... mais je vois pas trop comment mettre mon contenu en forme si je le (le contenu) rentre en bloque dans la base.

mon ajax envoi au fichier php qui me fait un echo et re-ajax qui affiche le contenu.

[PadawanInPerl]

donc le code html est juste et sans danger vu qu'il n'y a que moi qui l'entre.

[Celira]

On peut voir le code PHP qui lit la base ?

[PadawanInPerl]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
$absselect = htmlentities($_GET['motif']);
 
$db=new db();
$req="SELECT `message` FROM `table_abs` WHERE `valeur`='$absselect' ";
$db->query($req);
 
if($db->result)
{
	foreach ($db->result as $mess)
	{
		$yeah = $mess['message'];
	}
}
//echo htmlspecialchars($yeah);
echo $yeah;
// $a = htmlentities($yeah);
// $b = html_entity_decode($a);
// echo $b;

[Celira]

Je ne vois pas ce qui peut poser problème au niveau de la récupération du contenu HTML de ton champ. Peut-être que le problème est au niveau de l'AJAX. Tu as vérifié le contenu de la réponse à ta question, dans la console de ton navigateur ?

Au passage, tu as une magnifique injection SQL potentielle : htmlentities n'est pas du tout fait pour protéger la base de données.
Il faut utiliser quelque chose comme mysql_real_escape_string, mysqli_real_escape_string() ou PDO::quote() en fonction de l'API qui tu utilises, ou bien des requêtes préparées.

[sabotage]

On supposer que si les recherches sont faites avec des entités HTML, les données ont des entités HTML.

[PadawanInPerl]

@celira

j'entre à la main dans la bdd les balises... il n'y a donc normalement pas de problème.

j'ai pu interpréter les retours lignes, sans balises, en les faisant directement dans la bdd avec la touche Enter.
côté traitement, je suis passé par un nl2br.

par contre, pour le gras, l'italique, etc... ça passe pas.

[sabotage]

Tu obtiens quoi dans ta source HTML ?

[PadawanInPerl]

ok pour ce que j'avais à faire :

écrire dans la db comme au clavier pour les retours lignes. pas de mise en forme mais les retours lignes c'est déjà bien.