Discussion :

[flavors]

Bonjour.
J'ai deux petites question concernant l'affichage en PHP.

La première est en rapport avec un problème que je rencontre actuellement sur l'utilisation des quotes.
Je crée un tableau en HTML dans lequel je mets des données issues d'un POST. Je me protège donc avec un "htmlspecialchars" dans les cellules basiques pas de problème mais je reçois aussi une variable me permettant de faire un rowspan et c'est là que je bloque avec les quotes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
	<td rowspan="<?php echo htmlspecialchars($_POST['nbAss']);?>"> <?php echo htmlspecialchars($_POST['tc']);?> </td>

J'ai le "htmlspecialchars" du 1er echo qui est mis de la même couleur que si c'était une chaîne de caractères entre " " mais comme c'est entre des balise PHP ça ne devrait pas être le cas non?
Si quelqu'un sait pourquoi cela me fait ça, je veux bien une petit explication, ce serait gentil.
EDIT : je viens de tester en mettant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<script> alert("tete");</script>

dans un des input de mon formulaire et c'est affiché telquel dans le tableau, le htmlspecialchars ne fait pas effet. Si quelqu'un sait porquoi aussi =).

Mon autre question est plus sur la bonne pratique à adopter.
J'ai vu qu'en général on essaie de séparer le code HTML du PHP dans ce cas la façon que j'utilise est la bonne parcque j'ai un doute ^^.
Faut-il mieux faire comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
	<td rowspan="<?php echo $_POST['nbAss'];?>"> <?php echo $_POST['tc'];?> </td>

ou comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
	echo '<td rowspan="' .$_POST['nbAss']. ' ">' .$_POST['tc']. '</td>';

Merci.

[valaendra]

EDIT : je viens de tester en mettant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<script> alert("tete");</script>

dans un des input de mon formulaire et c'est affiché telquel dans le tableau, le htmlspecialchars ne fait pas effet. Si quelqu'un sait porquoi aussi =).

Est ce que l'alerte javascript se lance ? Si non, alors le htmlspecialchars() a bien fonctionné (facilement vérifiable en vérifiant dans le code source de la page générée).

[flavors]

Alors il ne se lance pas quand j'utilise "htmlspecialchars" mais il ne se lance pas non plus quand je ne met rien.
j'ai pourtant essayé en ajoutant " ">".

J'ai regardé aussi le code généré avec l'outil developpeur et j'ai bien <script> alert("tete");</script> qui et mis entre mes <td>.
Aprés c'est peut-être parce que justement c'est dans des cellules?

EDIT : Bon ça marche bien en dehors du tableau. Sans "htmlspecialchars" j'ai bien l'alert et avec non. Ca veut dire qu'on ne peut pas faire de JS dans un tableau? je ne le savais pas je vais essayer.

Par contre dans mon fichier j'ai bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
"> <script>alert("tete");</script>

mais je ne devrais pas avoir les caractéres comme cela &lt ?
Re-EDIT : Le Js s'execute bien dans les cellules d'un tableau dans ce cas, il y a-t-il un moyen de tester si le htmlspecialchars marche bien dans mon tableau?

Merci

[§Gama§]

Pour que ce soit compatible javascript, j'utilise ce code là:

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
   function jsspecialchars( $string = '') {
      $string = preg_replace("/\r*\n/","\\n",$string);
      $string = preg_replace("/\//","\\\/",$string);
      $string = preg_replace("/\"/","\\\"",$string);
      $string = preg_replace("/'/"," ",$string);
      return $string;
   }
?>

[flavors]

Bonjour et merci pour votre réponse.

Je ne comprends pas le "pour que ce soir compatible avec javascript". La fonction htmlspecialchars ne fait que générer du code HTML en remplaçant certains éléments par d'autre. Je vois pas quels soucis de compatibilité il peut y avoir.

[§Gama§]

C'est vrai, c'est un peu hors sujet, mais en passant par une fonction intermédiaire, le problème de quote disparait?

[flavors]

Bonjour.

Désolé pour ce délai de réponse je n'ai pas pu accéder à internet pendant plus d'une semaine (l'horreur!).
Merci pour vos réponses.
Cela m'embête un peu de passer par une fonction intermédiaire alors qu'il en existe de base prévues à cet effet... Mais bon si c'est la seule solution.

Il faut juste que je me remette dans le bain, je teste ça ensuite et vous donne un retour.

[sabotage]

Tu analyses mal tes résultats : si le javascript est affiché tel quel dans la page comme tu le dis, c'est justement que les caractères comme < ont été convertis.

pour le rowspan une simple conversion en entier suffit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<td rowspan="<?php echo (int)$_POST['nbAss'];?>">

[flavors]

Bonjour et merci pour votre réponse.

pour le rowspan une simple conversion en entier suffit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<td rowspan="<?php echo (int)$_POST['nbAss'];?>">

Ok je vais procéder comme cela pour les entiers.

Tu analyses mal tes résultats : si le javascript est affiché tel quel dans la page comme tu le dis, c'est justement que les caractères comme < ont été convertis.

Oui il s'affiche bien telquel dans la page html mais normalement depuis l'outil développer, je ne suis pas sensé voir "&lt" au lieu de "<" par exemple?

EDIT : Autant pour moi je viens de re-tester avec et sans la fonction d’échappement. :
-Avec le texte JS s'affiche mais ne s'execute pas.
-Sans le texte JS ne s'affiche pas mais s'execute.
Cela fonctionne donc bien. J'imagine que je ne suis pas sensé voir de "&lt" du coup?

[sabotage]

Fais le test.

[Invité]

Bonjour,

1/ exemple simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<form method="post">
    <input type="text" name="txt"/>
	<input type="submit" name="ok"/>
</form>
<?php
$txt = (!empty($_POST['txt']))? $_POST['txt'] : '';
echo 'test 1 :'.$txt.'<br />';
echo 'test 2 :'.htmlspecialchars($txt).'<br />';
echo 'test 3 :<pre>';print_r( htmlspecialchars($txt) ); echo '</pre>';
echo 'test 4 :<pre>';var_dump( htmlspecialchars($txt) ); echo '</pre>';
?>

regarde ensuite le code HTML généré ("Ctrl" + "U")

2/ LIS la doc sur htmlspecialchars()
Notamment l'usage de ENT_QUOTES, ENT_NOQUOTES,...
Et le 3ème paramètre, qui peut être 'UTF-8'.

[flavors]

Merci pour vos réponses.

J'avais déjà effectué ces tests (Je les ai refais avec l'exemple de jreaux62) et c'est justement au vu de la documentation que je me suis posé cette question.

Ils donnent :
"&" (et commercial) devient "&amp;"
""" (guillemets doubles) devient "&quot;" (ou &apos lorsque ENT_NOQUOTES n'est pas utilisée.
"'" (guillemet simple) devient ' uniquement lorsque ENT_QUOTES est utilisée.
"<" (inférieur à) devient "&lt;"
">" (supérieur à) devient "&gt;"

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
?>

.

La fonction fonctionne correctement. Ce que je me demande c'est pourquoi les caractères HTML ne sont pas convertis comme dans l'exemple.

[Invité]

Utilise var_dump pour visualiser.

[flavors]

C'est ce que j'ai fais avec l'exemple que vous m'avez donné et j'obtiens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
string(54) "<script> alert("test");</script>"

[Invité]

Relis la doc.

ENT_QUOTES est pour les guillemets simples.

Et ne te fie pas simplement à ce qui s'affiche à l'écran : certains caractères sont automatiquement transformés "visuellement".

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$new = "<a href='test'>Test</a>";
echo '<pre>';var_dump( htmlspecialchars($new, ENT_QUOTES) ); echo '</pre>';

me renvoie :

string '&lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;' (length=45)

[Invité]

Cela dit, tu ne te pose pas les bonnes questions.

LA bonne question est :

"Par quoi va être entourée cette variable ? des guillemets doubles ou simples "

Vois la différence entre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href='xxx' title='<?php echo $var;?>'>wxcwxcwx</a>

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="xxx" title="<?php echo $var;?>">wxcwxcwx</a>

Avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$var = 'c\'est un "test" !';

La meilleure réponse est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo htmlspecialchars($var, ENT_QUOTES, 'UTF-8');?>

[flavors]

Bizar, j'ai essayé avec l'exemple que vous avez mis (mot pour mot) et j'obtient la même chose...
L'important c'est que ça marche.

Où visualisez-vous le résultat convertit? directement sur la page ou dans l'outil developper?

Merci

[Invité]

ENT_QUOTES Convertit les guillemets doubles et les guillemets simples.

A utiliser dans le cas général.

[flavors]

Pardon je me suis mal exprimé. Quand je disais que j'obtenais la même chose je voulais dire que j'obtenais le résultat non convertit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<a href='test'>Test</a>

Désolé je n'avais pas vu le 2eme poste juste après. Dans ce cas autant toujours utiliser ENT_QUOTE non?
EDIT : C'est en fait ce que vous dites dans le message précédent si j'ai bien compris.

[Invité]

Il existe des cas plus "délicats" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a onclick="alert('hello, <?php echo $chaine; ?>');return false;">clic me !</a>

Un addslashes() peut être nécessaire dans ce cas !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a onclick="alert('hello, <?php echo htmlspecialchars( addslashes( $chaine ), ENT_QUOTES, 'UTF-8' ); ?>');return false;">clic me !</a>