IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[PHP-JS] caractères html/php


Sujet :

Langage PHP

  1. 27/11/2006, 19h11 #1
    zelkin
    zelkin est déconnecté
    Membre à l'essai
    Profil pro
    Inscrit en
    Novembre 2006
    Messages
    5
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2006
    Messages : 5
    Par défaut [PHP-JS] caractères html/php
    Bonjour, enfaite j'ai un formulaire que nous appelerons form1 qui me permet d'envoyer des infos dans ma base de données.

    J'aimerais enfaite que l'utilisateur entrant les données ne puisse pas inséré des caractères html ou php style toutes les balises, fonctions serveur php etc ...

    Faut il mieux procédé par Javascript en interdisant la saisie dans le formulaire ou vaut il mieux les supprimés/remplacé lors de l'envoi du formulaire ?

    J'ai entendu parler de .html.entities, pouvez vous m'en dire d'avantage,

    Cordialement Sébastien !
    Répondre avec citation Répondre avec citation   0  0
  2. 27/11/2006, 19h43 #2
    Sékiltoyai
    Sékiltoyai est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Décembre 2003
    Messages
    217
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2003
    Messages : 217
    Par défaut
    Evidemment qu'il faut protéger par php, le javascript ne peut assurer absolument aucune protection que ce soit...
    Pour protéger les scripts, il faut tout d'abord avoir des bonnes habitudes :
    - Initialiser systématiquement toutes les variables utilisées dans le script (sans quoi si la directive register_globals est sur On, les failles de sécurités sont très fréquentes).
    - Vérifier les données issues des formulaires, avec des is_int, is_numeric is_array, ...
    - Lors de l'insertion de données dans une base de données, échapper systématiquement avec mysql_real_escape() (ou l'équivalent pour les autres SGBD), pour éviter les injections SQL.

    Ensuite, les autres protections sont à prendre selon le cas, le html_entities est utile si les données sont destinées à être affichées, elles échappent les caractères HTML spéciaux. Il n'est absolument pas nécessaire d'empécher l'utilisateur de mettre des fonctions php dans les variables qu'il poste car pour que cela nuise, il faudrait faire un eval sur la variable, ce qui est rare dans les utilisations basiques de php...
    Sinon, je ne vois pas d'autres mesures de protection des variables postées, il y en a déjà pas mal.
    Répondre avec citation Répondre avec citation   0  0
  3. 27/11/2006, 20h39 #3
    zelkin
    zelkin est déconnecté
    Membre à l'essai
    Profil pro
    Inscrit en
    Novembre 2006
    Messages
    5
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2006
    Messages : 5
    Par défaut
    Citation Envoyé par Sékiltoyai
    - Vérifier les données issues des formulaires, avec des is_int, is_numeric is_array, ...
    - Lors de l'insertion de données dans une base de données, échapper systématiquement avec mysql_real_escape() (ou l'équivalent pour les autres SGBD), pour éviter les injections SQL.
    Ouai mais t'es bien gentil, je fais comment pour utiliser les is_int, is_numeric is_array ...

    Des bouts de codes seraient vraiment utiles,merci bien
    Répondre avec citation Répondre avec citation   0  0
  4. 27/11/2006, 20h42 #4
    Halukard
    Halukard est déconnecté
    Membre confirmé
    Profil pro
    Inscrit en
    Février 2005
    Messages
    154
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2005
    Messages : 154
    Par défaut
    php.net est ton ami ^^

    quand tu as une fonction et que tu sais pas comment elle fonctionne tu fait php.net/lenomdetafonction et tu as la doc officielle
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [MySQL] php et caractères de balise html
    Par deubelte dans le forum PHP & Base de données
    Réponses: 18
    Dernier message: 29/12/2011, 22h24
  2. [PHP] Interpréter le code PHP des fichiers html
    Par adanall dans le forum Apache
    Réponses: 2
    Dernier message: 04/05/2008, 15h33
  3. [MySQL] Créer une page HTML/PHP à l'aide de PHP
    Par Lord Silk dans le forum PHP & Base de données
    Réponses: 3
    Dernier message: 03/03/2008, 21h33
  4. [PHP-JS] Appeler du PHP depuis l'HTML
    Par blanchonvincent dans le forum Langage
    Réponses: 5
    Dernier message: 14/11/2007, 08h10
  5. [Mail] Variable de PHP --> mail en HTML --> PHP
    Par JeanMi66 dans le forum Langage
    Réponses: 3
    Dernier message: 09/12/2005, 19h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo