Discussion :

[bicou06]

Bonjour

J ai lu tout et son contraire sur la securisation des bdd.
J ai lu qu il fallait impérativement utiliser quote() pour PDO pour les strings alors que j ai lu aussi que si la requête était préparée, cela été inutile.

Actuellement j utilise les htmlentities() et les requêtes préparée du style $stmt->bindParam(':ThreadId', $threadid, PDO:: PARAM_INT);.

Est-ce suffisant ? Que pourriez vous me conseiller ?

merci de vos réponses

[sabotage]

Si tes valeurs sont passées comme paramètres de la requête préparée, alors il ne faut ni quote() ni htmlentities().
Au passage, dans la doc PHP il est bien recommandé d'utiliser des paramètres plutôt que qote().

[bicou06]

Merci d avoir pris le temps de me répondre.

En fait c est de htmlspecialchars() que je voulais parler et non de htmlentities().

J'ai lu que l on devait utiliser parce que si j insère '<script>alert('oui');</script>' sans cette fonction c est ce qui est dans la bdd alors que si j utilise htmlspecialchars() c est '&lt;script&gt;alert('ici')&lt;/script&gt' que j ai dans ma bdd...

merci de ta patience

[Invité]

Bonjour,

htmlspecialchars() ne doit être utilisé qu'au moment de l'affichage.
Pas de l'enregistrement en BDD.

Quant aux balises non voulus, à toi de faire le nettoyage avant (strip_tags,.....).

[bicou06]

merci pour ces précisions

[rawsrc]

Salut,

Quant aux balises non voulus, à toi de faire le nettoyage avant (strip_tags,.....).

Attention quand même, strip_tags casse les chaînes UTF-8.

C'est très simple : tout mais alors absolument tout ce qui est destiné à l'affichage doit passer par la moulinette htmlspecialchars().
Aucune exception !

Tu peux te permettre de garder en base les valeurs brutes (très fortement conseillé) à condition d'avoir la certitude que tout sera échappé au rendu.

[bicou06]

merci pour cette précision mais une dernière question : ça veut dire quoi casser la chaine UTF-8 ?