Discussion :

[tryan]

Bonjour,

Je "patauge" sur la façon d'enregistrer proprement les données d'un formulaire en BD.

Supposons un simple input qui doit être enregistré bd:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input name="titre" size="65" value="<?php if (!empty($_POST["titre"])) { echo $_POST["titre"]; } ?>" type="text"/>

Utilisez-vous sur le "echo" la fonction "ENT_QUOTES" et/ou "htmlspecialchars" et/ou "stripslashes" ou rien?
Idem sur un textarea ou tout autre élément d'un formulaire ?

Note : utilisation de "mysql_real_escape_string" lors de l'insertion.

Merci

[Tittom]

A mon humble avis tu fais bien de distinguer les 2 cas :

1. Cas du echo :
Pour ma part j'utilise htmlspecialchars() sans option particulière (sauf l'encodage si besoin ), et ce en effet aussi bien pour les input que pour les textarea.

2. Cas des insert/update :
mysql_real_escape_string() est mon ami (et peut être aussi le tien ? )

Dans tous les cas, faire en sorte que les données stockées dans la base soient "brutes", c'est-à-dire sans les backslash ni les entités html. Ainsi tu sais ce que tu as dans ta base.

[tryan]

Merci de votre réponse .

1. Cas du echo :
Si je ré-affiche $_POST dans mon input, j'ai le droit à une jolie série de slach (/) du à l'insertion de double quote, j'utilise donc stripslashes() en plus de htmlspecialchars() pour l'affichage de celui-ci. Du coup, dois-je enregistrer ces slach (/) en bd et les virer en sortie ou les virer directement avant l'enregistrement?

2. Cas des insert/update :
J'utilise systématiquement mysql_real_escape_string() .

3- Cas du echo en sortie de BD :
Si celui-ci s'affiche entre des doubles quote (genre méta-tags et Cie), j'utilise htmlspecialchars(), sinon rien.

Dans tous les cas, faire en sorte que les données stockées dans la base soient "brutes", c'est-à-dire sans les backslash ni les entités html.

J'utilise l'éditeur Ckfinder sur un textarea qui me sort en bd des entités du genre "é è" et la je ne vois pas comment convertir les données en texte "brute" avant enregistrement

Note : teste en cours sous free.fr ou magic quote est activé. Il faudra que je trouve une compatibilité avec 1&1 ou magic quote est désactivé...