Guillemets simples ou doubles

**Malikak** · 21/06/2006, 10h29

Bonjour,

Pour protéger une chaine (provenant d'un formulaire, par exemple) contre les balises HTML, beaucoup d'entre vous connaissent la fonction htmlspecialchars().

Seulement, il y a plusieurs constantes :
- ENT_COMPAT : onverti les guillemets doubles et ignore les guillemets simples
- ENT_NOQUOTES : ignore les guillemets doubles et les guillemets simples
- ENT_QUOTES : onverti les guillemets doubles et les guillemets simples

Je me demandais : pour protéger une chaine contre le HTML, la constante ENT_NOQUOTES est-elle suffisante ? Car j'ai beau réfléchir, je ne vois pas en quoi ces guillemets peuvent poser problème dans une chaine...

PS : Je parle ici de protection contre le HTML. Une fonction telle que mysql_real_escape_string() est bien entendu utilisée lors de l'enregistrement en base de données, si la directive magic_quote le demande.

**Sylvain71** · 21/06/2006, 10h39

Tu veux faire quoi au juste ? Supprimer toutes les balises html de ta chaine ?
Si c'est le cas, il faut utiliser la fonction strip_tags() .

**Malikak** · 21/06/2006, 11h04

Non non, juste faire en sorte que les balises ne soient pas interprétées. Donc htmlspecialchars fait très bien son travail. Je m'intérroge juste sur la constante à utiliser, car je ne vois pas réellement l'interet de transformer les guillemets en entités html. Mais peut être qu'après tout, il y a une raison que j'ignore, et qu'un petit malin pourrait utiliser ses guillemets à son avantage...

PS : d'ailleurs, en passant, strip_tags() est bugguée

Mais ce n'est pas le sujet ici, ce n'est pas de cette fonction dont j'ai besoin.

**Hervé Saladin** · 21/06/2006, 18h14

Un cas de figure courant.
Les guillemets ont une utilisation bien précise lorsqu'ils sont inserés dans des documents html ou xml par exemple (on peut les voir comme des "caractères réservés").
exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<div id="test">

Donc, si des guillemets ne sont pas utilisés dans ces cas de figure (exemple : il y a des guillemets dans le corps d'un texte représenté sur une page html) ils doivents être convertis pour que le document soit conforme aux spécifications du W3C.
Dans ce cas de figure, il s'agit d'une question de respect des standarts et pas de sécurité.

**Malikak** · 21/06/2006, 18h44

En est-il de même pour les guillemets simples (utilisés comme apostrophes) ?

**Malikak** · 22/06/2006, 18h05

Personne ne peut m'aider ?

Guillemets simples ou doubles

Langage PHP

Discussions similaires

Partager

Partager