Bonne pratique htmlspecialchars ou pas htmlspecialchars en PDO

**Sergio_zero** · 08/04/2016, 14h26

Bonjour à tous et à toutes.
J'ai une question idiote à poser.
Je passe mes requêtes SQL en PDO.

Est ce qu'il faut mettre htmlspecialchars à la place de mysql_real_escape_string quand on insert ou update dans une table ou c'est plus la peine.
depuis ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
$pseudo = $_POST['pseudo'];
		$message = $_POST['message'];
		 // puis on entre les données en base de données :
		$insertion = $bdd->prepare('INSERT INTO messages (auteur, message) VALUES(:aut,:mess)');
		$insertion->bindValue('aut', $pseudo, PDO::PARAM_STR);
		$insertion->bindValue('mess', $message, PDO::PARAM_STR);
		try {
				$insertion->execute();
			}
		catch (PDOException $e)
			{
			   echo 'Error : ' . $e->getMessage();
			   die();
			}
		$insertion->closeCursor();

Merci de vos réponses car les " dans la table m'ennuies.

**Celira** · 08/04/2016, 16h21

La fonction htmlspecialchars et sa cousine htmlentities servent à encoder des caractères HTML (notamment pour protéger des injections XSS) Donc utiliser ça pour l'insertion en base de données, c'est comme mettre des chaussettes pour éviter d'avoir froid à la gorge.

Pour protéger des données pour l'insertion en base de données avec PDO, il faut utiliser les requêtes préparées et passer les paramètres à l'exécution par bindParam, bindValue ou directement dans execute.
Donc ton exemple est très bien

**Sergio_zero** · 08/04/2016, 17h23

Merci pour ta réponse.
Si je comprend bien, si je fait toujours mes insert comme l'exemple ce n'est pas la peine de protéger les variable avec htmlspecialchars

**mathieu** · 12/04/2016, 14h24

oui c'est ça, bindValue s'occupe de protéger la valeur pour l'utiliser dans la requête

**Sergio_zero** · 17/04/2016, 09h24

Merci Mathieu

**grunk** · 18/04/2016, 08h58

En revanche ça dispense pas de d'utiliser htmlspecialchars ou htmlentities à l'affichage.

C'est pas lié à PDO, c'est juste que sur un insert de BDD on protège les injections SQL , mais on garde les données le plus brute possible pour faciliter d'éventuels traitement dessus. La protection cliente s'effectue à l'affichage pas à l'enregistrement.

La plus part des moteurs de template un peu sérieux le font par défaut d'ailleurs.

Bonne pratique htmlspecialchars ou pas htmlspecialchars en PDO [PDO]

PHP & Base de données

Discussions similaires

Partager

Partager