Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
htmlspecialchars ne fonctionne pas comme attendu
Bonjour,
Dans le traitement d'un formulaire, j'ai la ligne suivante:$outData[$group][$key] = htmlspecialchars($entry, ENT_NOQUOTES); Mon but est dans une zone de texte de filtrer les entités html mais pas les apostrophes ou les guillemets doubles. Malheureusement le texte en entrée est filtré et les guillemets doubles comme les apostrophes sont remplacés.
Bizarre, généralement on utilise htmlspecialchars() à l'affichage *uniquement* et surtout pas en base de données :Dans le traitement d'un formulaire, j'ai la ligne suivante:$outData[$group][$key] = htmlspecialchars($entry, ENT_NOQUOTES);
ENT_NOQUOTES n'échappe pas " et ', et pour moi c'est bon :
Code : Sélectionner tout - Visualiser dans une fenêtre à part <input type="text" name="email" value="<?= htmlspecialchars($email) ?>">
$entry contient probablement du HTML déjà échappé.
Code : Sélectionner tout - Visualiser dans une fenêtre à part echo htmlspecialchars('&<> \' "', ENT_NOQUOTES); // => &<> ' "
Essaie de fournir un code permettant de reproduire la situation.
Mon but est de ne pas risquer d'entrer en base de données des entités html. J'ai remplacé le htmlspecialchars() par strip_tags(). N'ayant pas besoin de mise en forme, je pense que c'est bon.
Une entité HTML en est une uniquement dans un contexte HTML.Mon but est de ne pas risquer d'entrer en base de données des entités html.
htmlspecialchars() génère davantage d'entités HTML.
strip_tags() dégrade la donnée.
La base de données doit rester neutre. Pour le moment tout me laisse penser que tu ne règles pas ton problème correctement.
Quelle est ta motivation ici ?
J'ai une fiche de renseignements sur des établissements. L'utilisateur peut entrer un commentaire dans une zone de texte. Ce commentaire est enregistré en base de données. La consultation de la fiche de renseignements, utilise le même formulaire avec la même zone de texte. Il paraîtrait bizarre de trouver des balises html dans ce texte, même si elles sont sans effet, d'où l'idée de les supprimer.
Merci pour les précisions
Le texte et ces éventuelles balises viennent de l'utilisateur ?Il paraîtrait bizarre de trouver des balises html dans ce texte
Pourquoi supprimer la saisie (quelqu'en soit le motif) de ce qui ressemblerait à du HTML et pas aussi toutes les autres bizarreries ?
C'est un peu comme si tu *supprimais* les mots/caractères pouvant provoquer des injections SQL.
En plus strip_tags() a des limitations qui le rendent peu fiables :
Utilisation :Avertissement
Comme strip_tags() ne valide pas le HTML, les balises partielles ou rompues peuvent conduire à la suppression de plus de textes/données que désiré.
=> https://www.php.net/strip-tagsAvertissement
Cette fonction ne devrait pas être utilisé pour empêcher les attaques XSS. Utiliser des fonctions plus approprié comme htmlspecialchars() ou d'autres méthodes en fonction du contexte de la sortie.
À mon sens, l'utilisateur saisit bien ce qu'il veut, et c'est à toi de traiter correctement sans dégradation de la data / de la saisie.
Pour cela c'est simple :
-- Tu échappes correctement la saisie dans la requête SQL => PDO::quote() / PDO::prepare()
-- Tu échappes correctement la saisie à l'affichage HTML => htmlspecialchars()
Répondre avec citation
Partager