Insérer htmlspecialchars dans formulaire

**gcaed** · 04/07/2007, 12h25

Bonjour,
Où insérer htmlspecialchars pour éviter les scripts sauvages,
dans mon formulaire ci-dessous?
Merci.
----------------------------------------------------

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
<html><head><title>Entrer des informations dans la base</title>
<SCRIPT LANGUAGE="JavaScript">
<!-- Vérification de Saisie
function verif() {
   // Champ non rempli
   if (document.myform.nom.value == "") {
		alert("Veuillez saisir votre nom.");
		document.myform.nom.focus();
		return false;
	}
   if (document.myform.date.value == "") {
		alert("Veuillez saisir la date.");
		document.myform.date.focus();
		return false;
	}
   if (document.myform.email.value == "") {
		alert("Veuillez saisir votre adresse d'e-mail.");
		document.myform.email.focus();
		return false;
	}
 
   if (document.myform.annonces.value == "") {
		alert("Veuillez saisir votre annonce.");
		document.myform.annonces.focus();
		return false;
	}
 
	// Ok
	return true;
}
// -->
</SCRIPT> </head>
 
<BODY BGCOLOR="000000"><CENTER>
<FONT FACE="Arial">
 
 | <font color="#FF6003">Ajouter un texte</font>
 
 <center>
  <?php
if (isset($valider)){
   $host="sql.free.fr";  $base="base";  $passe="......";
      mysql_connect("$host","$base","$passe");
      $select_base=@mysql_selectdb("$base");
   $sql = "INSERT INTO table (nom,date,texte,email) VALUES ('$nom','$date','$annonces','$email')";
  mysql_query($sql);
exit;
}
 else
 {
//formulaire
 }
?>
<p><h3><FONT COLOR="#FF6003">
<form method=POST name="myform" action="<?php echo $PHP_SELF?>" enctype="application/x-www-form-urlencoded" onSubmit="return verif();">
<input type=hidden name="id" value="<?php echo $ligne["id"] ?>">
<b>Nom & prénom :</b></TD>
<INPUT TYPE=TEXT SIZE=24 MAXLENGTH=40 NAME="nom" value="<?php echo $ligne["nom"] ?>">
<br>
<b>Date:</b> <font face=arial color='red' size='1'>AAAA/MM/JJ</font>
<input type="date" SIZE=10 MAXLENGTH=10 name="date"
value="<?php echo $ligne["date"] ?>">
<br>
<b>E-mail :</b></TD>
 <TD ALIGN=middle><INPUT TYPE=TEXT SIZE=40 MAXLENGTH=60 NAME="email"
 value="<?php echo $ligne["email"] ?>">
 <br>
  <b> &nbsp; Insérez votre texte:</b>
 <TEXTAREA NAME="annonces" ROWS=6 COLS=80 WRAP=HARD>
 </TEXTAREA>
  &nbsp; &nbsp;<input type="submit" name="valider" value="Envoyer texte">
  <INPUT TYPE=RESET VALUE="Effacer"></center>
  </form>
</body></html>

----------------------------------------------------

**Deepin** · 04/07/2007, 19h08

hello,
je le placerais avant l insertion en base.

A++

**gcaed** · 04/07/2007, 19h27

Envoyé par buns

hello,
je le placerais avant l insertion en base.

A++

Salut,
Mais comment, je ne connais pas bien ce htmlspecialchars.
Je voudrais l'utiliser pour le TEXTAREA, car j'ai déjà eu des
plaisantins qui m'ont bloqué ma base avec des scripts.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<TEXTAREA NAME="annonces" ROWS=6 COLS=80 WRAP=HARD>
 </TEXTAREA>
  &nbsp; &nbsp;<input type="submit" name="valider" value="Envoyer texte">

à+
gcaed.

**Deepin** · 04/07/2007, 19h50

Re,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
if (isset($valider)){
 
 $texte = htmlspecialchars($texte); 
 
 $host="sql.free.fr";  $base="base";  $passe="......";
      mysql_connect("$host","$base","$passe");
      $select_base=@mysql_selectdb("$base");
   $sql = "INSERT INTO table (nom,date,texte,email) VALUES ('$nom','$date','$annonces','$email')";
  mysql_query($sql);
exit;
}
 else
 {
//formulaire
 }
?>