Discussion :

[ni.co]

Bonjour, je viens de développer un site en php qui fonctionne bien

mais quand je rentre des données textuelles par mon interface d'administration, j'ai un bug bizarre. Vous pouvez voir ce bug sur la page d'accueil

http://www.breac.be/start.php?lang=fr

lorsque j'écris une apostrophe comme pour "l'accueil" par ex ( à la 2e ligne de texte).

Voici ce qu'il ce passe "l\'\'\'accueil" ou "l\'accueil" et ce dans chaque rubrique de mon site quand je me modifie ou ajoute du texte, qui contient des apostrophes.

Est-ce que quelqu'un aurait une idée d'où ça peut venir?

À noter

-j'utilise charset=iso-8859-, est-ce que ds PHP myadmin je ne devrais pas changer quelques choses?
et est ce que charset=iso-8859 est bien adapté a un site en 3 langues

-mes textes area sont joint à l'éditeur de texte TINYMCE

-voici un exemple de ce j'utilise dans mon code PHP pour la modif de mon texte
UPDATE t_rubriques SET

rubrique_texte_fr ='".trim(addslashes($_POST["rubrique_texte_fr"]))."',



*** important aussi: quand mon site fonctionne en LOCAL, je n'ai pas ce problème...


j'espère avoir été le plus clair possible

d'avance merci pour votre aide

[savageman86]

Désactive les magic_quotes sur ton serveur (beaucoup de tutos en parlent, tu trouveras vite fait), et utilise mysql_real_escpae_string(à au lieu de addslashes() pour entrer les paramètres dans ta base de données. addslashes() n'est pas prévu pour ça.

[ni.co]

Merci pour ta réponse, en faite une simple suppression des addslashes a réglé le problème.
est ce que tu peux rapidement me dire à quoi sert le
mysql_real_escape_string(stripslashes()) ?
Est ce que tu me conseilles de désactiver les magic quotes? si oui pq?

merci

[ni.co]

j'ai trouvé pas mal de doc sur des forums sur les mysql_real_escape_string(stripslashes()), les addslashes etc,
et j'ai un peu l'impression que tout le monde se contredit et je m'y perd un peu...

[savageman86]

Oui parce que ca va être supprimé dans les futures versions de PHP.
Et donc une fois que tu l'auras enlevé, tu mettras bien des mysql_real_escape_string() sur toutes tes données textuelles que tu entres en BDD, sinon tu n'es pas protégé contre les injections SQL.

[ni.co]

ok merci je comprend bien, et pour l'affichage de donnée sur mon site ligne, est ce que je dois utiliser une commande spéciale plus évolué qu'un <? echo ...?> ?

pour ceux qui voudrait de plus ample explication sur le sujet,
http://www.php.net/manual/fr/functio...ape-string.php

[savageman86]

Oui, echo htmlspecialchars(); pour les chaînes venant de la BdD.