Bonjour,
Pour protéger une chaine (provenant d'un formulaire, par exemple) contre les balises HTML, beaucoup d'entre vous connaissent la fonction htmlspecialchars().
Seulement, il y a plusieurs constantes :
- ENT_COMPAT : onverti les guillemets doubles et ignore les guillemets simples
- ENT_NOQUOTES : ignore les guillemets doubles et les guillemets simples
- ENT_QUOTES : onverti les guillemets doubles et les guillemets simples
Je me demandais : pour protéger une chaine contre le HTML, la constante ENT_NOQUOTES est-elle suffisante ? Car j'ai beau réfléchir, je ne vois pas en quoi ces guillemets peuvent poser problème dans une chaine...
PS : Je parle ici de protection contre le HTML. Une fonction telle que mysql_real_escape_string() est bien entendu utilisée lors de l'enregistrement en base de données, si la directive magic_quote le demande.
Partager