Discussion :

[Thierry8]

Alors j'ai bien lu l'aide officiel du site PHP.net !

Cependant j'ai besoin d'utilisateur ayant pratiqué !

Lorsque je fais cela:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

trim(htmlentities(addslashes($_POST['message']))))

Et que le message est:
l'utilisateur blabla...
il me l'envois avec: \\\'

Donc j'ai ajouter la fonction stripslashes sur le message, il me retourne: \'
Il y a du mieux mais ce n'est pas ca !

Comment je peux faire pour sécuriser tout en ayant un message correcte au final ?
Je suis vraiment coincé et tourne en rond, si quelque pouvais m'aider à ce sujet !

Encore une chose...
je n'ai pas compris la différence entre htmlentities et htmlspecialchars !
Laquel vaut-il mieux utiliser ?

http://fr2.php.net/manual/fr/functio...ecialchars.php
http://fr2.php.net/manual/fr/function.htmlentities.php

Merci de votre aide.

[Bibicmoi]

Mais tu veux faire quoi avec tout ca?
Si c est pour mettre dans une base, tu n as pas besoin du htmlentities. Seul le addslashes est utile.
Si tu veux absolument mettre tes caracteres speciaux au format html, tu n as alors pas besoin d utiliser addslashes. En ecrivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($val, ENT_QUOTES)

ca echappe automatiquement les simples quotes. Du coup, le addslashes ne sert plus a rien.
Apres, pour la difference entre htmlentities et htmlspecialchars, je sais pas du tout...

[loufoque]

quel que soit le cas, htmlentites et stripslashes ne servent à rien, déjà.

À l'insertion il faut faire un addslashes (si celui-ci n'a pas été déjà fait automatiquement à cause de cette directive stupide magic_quotes_gpc)
Et quand on affiche les données, il faut faire htmlspecialchars (à défaut de mieux, un parser bbcode ou autre).

[Bibicmoi]

Et quand on affiche les données, il faut faire htmlspecialchars (à défaut de mieux, un parser bbcode ou autre).

C est pas obligatoire ca, si?
Je le fais jamais... C est grave docteur?

[loufoque]

Je le fais jamais... C est grave docteur?

Oui, c'est très grave.
Rien ne garantit l'intégrité de ton document, on pourra très bien utiliser du cross-site scripting etc.

ça parait tout de même évident que quand tu créés un document d'un type particulier (en php on fait généralement de l'html) il faut encoder les données que l'on y insère d'une façon particulière.

[Bibicmoi]

ça parait tout de même évident que quand tu créés un document d'un type particulier (en php on fait généralement de l'html) il faut encoder les données que l'on y insère d'une façon particulière.

Ben, c est a dire que quand je cree un document html tout simple, je n encode jamais ce que j ecris. Mes accents restent des accents, et je m amuse pas a traduire tout ca avec des é ...
Parce qu admettons que tu passes par htmlspecialchars pour encoder tes donnees. Tres bien... T es dans un formulaire qui affiche des donnees a modifier, donc ces donnees sont encodees, avec des é et autre. On est d accord?
Maintenant, tu modifies ces donnees, et tu enregistres le tout dans la base => dans ta base, il y a des é ..., et donc tu t en sors plus...
Non?

[loufoque]

Mes accents restent des accents, et je m amuse pas a traduire tout ca avec des é ...

Encore heureux, ce serait totalement stupide de faire ça.

T es dans un formulaire qui affiche des donnees a modifier, donc ces donnees sont encodees, avec des é et autre. On est d accord?

Non.
htmlspecialchars convertit <, >, & et accessoirement " suivant l'option.
Ce qui est indispensable, étant donné que ces caractères sont reservés...

Maintenant, tu modifies ces donnees, et tu enregistres le tout dans la base => dans ta base, il y a des &eacute; ..., et donc tu t en sors plus...
Non?

Bien sûr que non.
Si tu as <input type="text" value="h&eacute;ho"> le navigateur enverra "hého" dans le charset défini par l'attribut accept-charset de <form>. Il n'enverra pas du tout des entités à la con (faut pas déconner non plus).

Mais de toutes façons remplacer é par &eacute; n'a aucun intérêt...
Si du moins on a les 80 de QI nécessaires pour pouvoir gérer correctement les charsets.

[ska_root]

Si du moins on a les 80 de QI nécessaires pour pouvoir gérer correctement les charsets

merci