[SQL] comment "desactiver" une fonction php dans une page? [Résolu]

horas · 27/05/2007, 14h28

bonjour à tous !

j'ai un petit problème, ca fait pas mal de temps que je cherche une solution (par moi même ou sur d'autres forums) et je ne trouve toujours pas. je vous explique:

Je propose aux internautes un formulaire permettant de préciser leur pseudo/mail/site web/message. ce formulaire, une fois dument rempli, stock les informations dans une base de donnees SQL. jusque là tout va bien.

ensuite sur une autre page php, je fais lire et lister toutes les données (c'est une sorte de pétition et donc j'affiche le nom et le message de chaque internautes). mais le probleme c'est que si je met comme messsage <?php include(""); ?> dans mon formulaire , dans ma page qui affiche la liste des signataires, php va m'inclure la page appelé par l'include...

pas vraiment malin me direz-vous. bref je me casse la tête, est-ce que vous auriez une solution ?

merci d'avance

sharrascript · 27/05/2007, 14h42

bonjour,

J'ai pas tout compris ton soucis, mais une chose est sûr, avec un include tu affichera tout ce qu'il y a dedans...

Je sais pas trop quoi te répondre, mais tu as surement besoin d'utiliser des conditions.

++

horas · 27/05/2007, 14h50

Citation:

Envoyé par sharrascript

bonjour,

J'ai pas tout compris ton soucis, mais une chose est sûr, avec un include tu affichera tout ce qu'il y a dedans...

Je sais pas trop quoi te répondre, mais tu as surement besoin d'utiliser des conditions.

++

c'est plus par sécurité que je cherche a eviter ça. imagine que je sois mal intentionné et qu'à la place de mettre un simple commentaire je mette un code ou une fonction include appelant une page de mon choix, lorsque je vais aller sur la page qui affiche mon message, la page va executer le code. ca reviens un peu a une attaque XSS (cross site scripting).

je ne me trompe pas ?

horas · 27/05/2007, 15h04

PROBLEME RESOLU

bon la solution était dans mon bouquin de php

la fonction htmlspecialchars() permet de convertir les caractères &, ", ', < et > en leur équivalent HTML amp, quot, #o39; , lt, gt....
donc avant j'avais comme code :
<?php echo $resultat['message']; ?>
et maintenant j'ai :
<?php echo htmlspecialchars($resultat['message']); ?>

27/05/2007, 14h28	#1
horas Invité de passage Inscription : mai 2007 Messages : 3 Détails du profil Informations forums : Inscription : mai 2007 Messages : 3 Points : 1 Points : 1	[SQL] comment "desactiver" une fonction php dans une page? bonjour à tous ! j'ai un petit problème, ca fait pas mal de temps que je cherche une solution (par moi même ou sur d'autres forums) et je ne trouve toujours pas. je vous explique: Je propose aux internautes un formulaire permettant de préciser leur pseudo/mail/site web/message. ce formulaire, une fois dument rempli, stock les informations dans une base de donnees SQL. jusque là tout va bien. ensuite sur une autre page php, je fais lire et lister toutes les données (c'est une sorte de pétition et donc j'affiche le nom et le message de chaque internautes). mais le probleme c'est que si je met comme messsage <?php include(""); ?> dans mon formulaire , dans ma page qui affiche la liste des signataires, php va m'inclure la page appelé par l'include... pas vraiment malin me direz-vous. bref je me casse la tête, est-ce que vous auriez une solution ? merci d'avance
	00

27/05/2007, 14h42	#2
sharrascript Membre émérite Franck Développeur Web indépendant Inscription : avril 2007 Messages : 678 Détails du profil Informations personnelles : Nom : Franck Âge : 31 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Développeur Web indépendant Informations forums : Inscription : avril 2007 Messages : 678 Points : 900 Points : 900	bonjour, J'ai pas tout compris ton soucis, mais une chose est sûr, avec un include tu affichera tout ce qu'il y a dedans... Je sais pas trop quoi te répondre, mais tu as surement besoin d'utiliser des conditions. ++ __________________ LudiKreation Pour un web ludique et son Blog \| CapRumbo pour un peu d'évasion \| ChaOdisiaque Club Passion Rôliste \|SierrElben le Jeu de rôle
	00

27/05/2007, 15h04	#4
horas Invité de passage Inscription : mai 2007 Messages : 3 Détails du profil Informations forums : Inscription : mai 2007 Messages : 3 Points : 1 Points : 1	Probleme Resolu PROBLEME RESOLU bon la solution était dans mon bouquin de php la fonction htmlspecialchars() permet de convertir les caractères &, ", ', < et > en leur équivalent HTML amp, quot, #o39; , lt, gt.... donc avant j'avais comme code : <?php echo $resultat['message']; ?> et maintenant j'ai : <?php echo htmlspecialchars($resultat['message']); ?>
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email