Discussion :

[marco62118]

Bonjour à tous

Je veux tester "htmlentities" pour pouvoir protéger ma base de donnée de malveillant qui introduirait des balises dans mon formulaire.
j'ai recopié quelques codes mais le résultat est apparemment que "htmlentities" comme "htmlspecialchars" sont inopérants

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
header('content-type: text/html; charset=utf-8');

if (isset($_POST['nom'])){

//dans l'input j'ai inscrit la phrase suivante: Un \'apostrophe\' en <strong>gras</strong>

		echo "nom = ".$_POST["nom"];echo'<br/>';//affichage : nom = Un \'apostrophe\' en gras

		echo "nom_htmlentities = ".(htmlentities($_POST["nom"]));echo'<br/>';//affichage : nom_htmlentities = Un \'apostrophe\' en <strong>gras</strong>
		 echo'<br/>';
}
		
		$str ='Un \'apostrophe\' en <strong>gras</strong>';

		echo "variable str = ". $str;echo'<br/>'; //affichage : variable str = Un 'apostrophe' en gras

		echo "str_htmlentities ".(htmlentities($str,ENT_QUOTES,"UTF-8"));echo'<br/>';//affichage :str_htmlentities = Un 'apostrophe' en <strong>gras</strong>
		
		echo'<br/>';echo'<br/>';
		

?>

<form action='test_reg.php' method='post'>
<input type ='text' size=10 style="width:300px;" name= "nom" >
<input type='submit' value='valider'><br><br>

[MaitrePylos]

Bonjour,
Ce n'est pas ce que la page affiche qui est important, mais bien ce qu'elle produit.
Si vous affichez le code source de votre page, vous verrez que cela fonctionne correctement.

Une partie du code source que vous générez.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
variable str = Un 'apostrophe' en <strong>gras</strong><br/>str_htmlentities Un 'apostrophe' en &lt;strong&gt;gras&lt;/strong&gt;<br/><br/><br/>

[marco62118]

Merci de ta réponse

J'ai bien vu dans ma base de données j'ai bien pour <DUFRESNE>= &lt;DUFRESNE&gt;

Mais pourquoi lorsque je fait echo(htmlentities($_POST["nom"])); je ne vois pas exactement le contenu alors que l'enregistrement dans la base est bien modifié

[MaitrePylos]

Désolé, mais je comprend pas bien votre question ?

[marco62118]

quand j'écris dans input , le nom est envoyé au serveur par la méthode POST
sur le serveur je récupère la variable _POST['nom'].
si dans le script il y un echo de cette variable , cet echo est bien envoyé vers l'utilisateur pour s'afficher sur la page et je vois bien l'écho s'afficher avec la valeur de la variable.
Alors que l'écho d'une variable modifiée avec htmlentities n'affiche pas la valeur de la variable modifiée.

[mathieu]

Alors que l'écho d'une variable modifiée avec htmlentities n'affiche pas la valeur de la variable modifiée.

d'après votre 1er message, la valeur saisie dans le formulaire est bien affichée.
quel résultat souhaitez-vous avoir ? donnez nous un exemple.

[marco62118]

je vous remercie pour vos réponses

En fait le code source marque bien le htmlentities alors que l'affichage à l'écran interprète les entités html comme &lt; et les affiche à l'écran avec leur représentation <

(si j'ai bien compris)