Discussion :

[herve42]

Bonjour a tous

Je suis nouveau dans le domaine du developemment web (5/6 mois) et reprend un intranet laissé à l’abandon.

Voilà mon problème.

Le site utilisé php et mysql.

Le stockage des informations issues de saisies de forumulaire se fait de deux manières (il y a eu deux précédents dvpeurs je présume).

1 - La saisie une fois effetcuée est transformé via la fonction HTMLENTITIES qui transforme tous les caractéres éligibles en format html : exemple à été est transformé en &eacute ;téeacute,

AVANTAGES :

Lors de la saisie du texte, l’utilisateur peut saisir par exemple ‘bonjour<br>’, ceci est donc transformé en vase acec les équivalents html ; lors de l’affichage le <br> ne provoque donc pas de problème.

INCOVENIENTS

Gros inconvénients : une zone dans la base de données taillée à 15 caractères (issu de la modélisation de la BDD) ne vas pas reellemment stocker 15 caractères (exemple ‘été’ va compter 13 caractères

Ceci n’est vraiment pas une bonne idée selon moi

2 – deuxième manière : les zones de saisies ne sont pas transformés. Le rendu html est bon mais si on saisie des balises html dans les zones, alors ces balises sont interprétées : GROS PROBLEME DONC

VOILA

Aucune des deux solutions utilisées ne me convient.

Vous allez me dire : ne fait aucune conversion et contrôle la saisie e javascript et PHP pour interdire certaine caractères comme les ‘<’ ou ‘>’……mais les données saisies dans mon formulaire ne sont pas controlables car peuvent issues de log de programmes et donc comporter des < ou > ou tout autre caractère

Le problème va vous sembler assez naif et basique, mais comment fait_on en général ? il doit bien y avoir une solution simple et sécurisée que vous employez tous ?

Merci pour l’aide

[Tober]

déjà c'est un problème de PHP je pense !
mais je vais t'aider quand même, je suis pas comme ça

Ca c'est le code pour le mettre dans la base :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nl2br(htmlentities(stripslashes($_POST["tontextarea"])))

ca c'est pour l'affichage des infos de la base :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$donnees["textarea"]

pas besoin de traitement spéciale je crois...

pour remodifier ton textarea (donc ce que tu mets dedans) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

str_replace("<br />", "", $donnee["textarea"])

j'ai un programme qui fait ca, et ca a l'air de marcher

[beeboo]

Salut,
Personnelement, je garde le texte tel quel dans la db mais je le filtre lors de l'affichage. Ainsi, tu garde des infos dont la longueur correspond à celle des champs et avec le filtrage type htmlentities et nl2br, tu évites les problèmes.

[Tober]

donc tu veux seulement traite la sortie de la base !?
ok je regarde ça
en utilisant la premiere transformation que je fais pour ton affichage, ca marche pas ?

[Momodedf]

Il est conseillé de retraiter aussi le texte avant de le rentrer dans le base.
Nottement en utilisant addslashes car si un utilisateur saisi un appostrophes ou un truc du genre ça risque de te pêter toutes tes requetes SQL.

[herve42]

merci pour la réponse
mais justemment, je ne veux PAS utiliser htmlentities pour stocker mes données, cette fonction transformant les é en &eacute; et cela n'est pas bon pour insérer dans une base de données; les infos de la bdd doivent être indépendantes du langage, &eacute prend 7 caractères en plus.......

c'est cela que je veux eviter..........