Base de données et formatage du texte sur site Web dynamique

**nl.smart** · 15/07/2023, 16h37

Bonjour,

Dans le but de rendre mon site Web dynamique je viens de créer une table dans ma base de données, et pour afficher les données contenues dans cette table je fais usage de la requête php suivante

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
    require '../modele/bdd.php';
    require '../modele/fonctions.php';
?>
 
<?php
    $id = $_GET['footer']; // le get récupère ce qui provient de la page accueil
 
    $queryC = "SELECT * FROM footer WHERE id = :toto";
    $req = $bdd->prepare($queryC);
    $req->bindValue(':toto', $_GET['footer'], PDO::PARAM_INT);
 
    $req->execute();
 
    while($data = $req -> fetch()){
?>
 
<div class="div_footer font_footer">
    <div class="container_footer">
 
    <div class="margin_top">
        <?php echo $data['cat_footer_texte'];?>
    </div>
 
    </div>
 
</div>
 
<?php
    }
?>

Est-ce que l'absence de htmlspecialchars à la ligne 22 est risquée pour le site Web ? En effet le texte dans ma base de données est comme suit :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<h1>À propos</h1>
<h4>Présentation du site</h4>
...

Si je viens à appliquer htmlspecialchars le formatage <h1> <p> etc disparaîtront à l'affichage.

Merci pour vos lumières.

**binarygirl** · 15/07/2023, 17h56

Envoyé par nl.smart

En soi non, tout au plus ça pourrait déstructurer la page, et même perturber l'affichage si le code HTML est malformé. Mais comme vous stockez du HTML brut, il n'y a pas le choix, il faut l'afficher tel quel et donc sans htmlspecialchars.
Le risque viendrait plutôt d'une injection SQL ailleurs, mais vous avez fait ce qu'il faut pour l'éviter.
Par contre, il est toujours possible que la requête plante si elle reçoit un paramètre invalide en GET, donc si vous attendez un integer il serait bon de rajouter un check à cet effet. Testez votre site avec des mauvais paramètres pour voir comme il réagit.

Personnellement, je prônerais plutôt l'utilisation de templates avec un système comme Twig par exemple.

**nl.smart** · 15/07/2023, 23h51

Merci pour votre réponse et les détails que vous fournissez.

J'ai négligez le check lors du passage en get, merci de l'avoir remarqué

Êtes vous d'accord avec le code ci-dessous ?

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
    if (isset($_GET['footer']) && filter_var($_GET['footer'], FILTER_VALIDATE_INT)) {
    $id = $_GET['footer']; // le get récupère ce qui provient de la page accueil

Post scriptum : le post est passé en résolu, la question principale ayant trouvé sa réponse :-)

**binarygirl** · 16/07/2023, 00h12

Pas testé, mais ça me paraît suffisant. Même si les requêtes préparées devraient vous protéger des injections SQL je n'aime pas tellement que des script kiddies puissent faire planter mes scripts

Il me semble donc que tous les paramètres doivent être validés un minimum.
Comme certaines personnes vont chipoter avec les URLs, pas forcément dans un but malicieux, il faut voir comment le script réagit si l'ID n'est pas trouvé dans la DB.

**nl.smart** · 16/07/2023, 01h53

Merci pour votre réponse et les infos jointes.

Base de données et formatage du texte sur site Web dynamique

Sécurité

Discussions similaires

Partager

Partager