Discussion :

[lisa.a]

Bonjour
je voudrais ajouter un livre d'or sur un site, je vais récupérer le message sous forme d'une chaine de caractere par un formulaire.
Je voudrais faire une fonction "encode_chaine" qui prend une chaine et échappent tous les caracteres dangereux pour sql avant d'enregistrer le message dans la base. Puis une fonction "decode_chaine" qd je voudrais afficher les messages j'irais les chercher dans la base et passerai les chaines à la moulinette de decode_chaine avant de les afficher.

Je pense utiliser ereg_replace pour faire tout ça.

Donc dans la théorie je crois que j'ai bon, dans la pratique je sais pas comment faire
1/ parce que je suis pas sure de savoir lister tous les caractères "dangeureux" pour sql (à part ; je sais pas trop à quoi d'autres il faut faire attention)

2/ surtout parce que je connais pas le caractere d'échappement en sql

il y a surement tonnes de fonctions déjà écrites qui font ça mais je préfère pas en prendre au pif vu que je suis pas tres douée en traitement de chaines de caracteres je préfère vos conseils plutot que de recoller une fonction que je ne comprends qu'à moitier

J'attends votre aide
merci d'avance
++
Lisa

[Séb.]

il y a surement tonnes de fonctions déjà écrites qui font ça

Exactement.
Avant d'insérer le msg dans la BdD : mysql_real_escape_string( ) (éventuellement un stripslashes( ) auparavant si les magic-quotes sont actives)
Avant d'afficher le msg sur la page : htmlspecialchars( )
C'est tout

http://fr.php.net/mysql-real-escape-string
http://fr.php.net/htmlspecialchars
Magic-quotes : http://fr.php.net/manual/fr/security.magicquotes.php

[sabotage]

En dehors de la protection de la chaine SQL, n'oublie pas de purger egalement ta chaine de toutes les balises (html et javascript).
Il y a des robots qui passent 24/24 a essayer de placer des saloperies sur le moindre formulaire qu'ils trouvent.

[lisa.a]

ok cool
ça veut dire quoi les magic quotes ? et comment savoir si elles sont activées ? (je suis hébergée chez ovh, je fais mes tests en local avec easyphp)

Je voudrais aussi qqchose qui me remplace les \n par des <br> tant qu'à faire ...
c'est possible ?
eidt : ça c'est bon j'ai trouvé nl2br

merci beaucoup en tout cas !

oui sabotage j'aimerais bien mais comment il faut faire ?

[Séb.]

ça veut dire quoi les magic quotes ? et comment savoir si elles sont activées ? (je suis hébergée chez ovh, je fais mes tests en local avec easyphp)

Lire la doc, j'ai donné le lien plus haut

Je voudrais aussi qqchose qui me remplace les \n par des <br> tant qu'à faire ...
c'est possible ?

Oui lors de l'affichage avec nl2br( ) après le htmlspecialchars( ).
http://fr.php.net/nl2br

[lisa.a]

ah oui zut désolée ... comme c'était en bas de ton message et que c'était des liens mes yeux ont filtré en pensant que c'était ta signature :p

encore merci !
je note ça comme résolu
ceci dit si sabotage veut bien me dire comment faire je reste preneuse

[lisa.a]

oups, en fait j'ai un soucis
mysql_real_escape_string me rajoute des\n et \r... et je ne sais pas comment les enlever au décodage
help ?
(désolée )

[Séb.]

mysql_real_escape_string me rajoute des\n et \r...

Ben non, ils doivent venir d'ailleurs.

[lisa.a]

bon tant pis il est tard j'en ai marre j'utiliserai addslash à la place du mysql_reasl_escape_string
c'est pas trop grave ?

[Séb.]

bon tant pis il est tard j'en ai marre j'utiliserai addslash à la place du mysql_reasl_escape_string
c'est pas trop grave ?

1. Tu n'auras pas mon agrément, mais tu es libre de faire ce que tu veux hein
2. Le problème risque de persister car mysql_real_escape_string( ) ne rajoute pas de \r ou \n

[Jannus]

Le problème risque de persister car mysql_real_escape_string( ) ne rajoute pas de \r ou \n

+1
Ton problème vient d'ailleurs.

Un petit bout de code pourrait aider à savoir d'où

[lisa.a]

1. Tu n'auras pas mon agrément, mais tu es libre de faire ce que tu veux hein

nan jpeux pas la culpabilité me hante )

alors le code :
d'abord ce que je rentre dans mon formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
'bravo super !
g"enil!

ensuite mon code php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
$message=addslashes(nl2br(htmlentities($_POST['message'])));
   $marchepas=mysql_real_escape_string(nl2br(htmlentities($_POST['message'])));
 
    echo $message;
    echo "<BR />";
    echo stripslashes($message);
    echo "<BR />";
    echo $marchepas;

et finalement mon résultat à l'écran

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
\'bravo super !
g"enil!
'bravo super !
g"enil!
\'bravo super !
\r\ng"enil!

Si vous voyez d'où ça peut venir ça m'intéresse

[Séb.]

Mais c'est normal, tu ne fais pas ce qu'on t'a recommandé !!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$àInsérerDansLaBDD = mysql_real_escape_string($_POST['message']) ;

Eventuellement si tu veux supprimer les tags comme le préconise sabotage (perso je préfère gérer ça à l'affichage avec htmlspecialchars( )) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$àInsérerDansLaBDD = mysql_real_escape_string(strip_tags($_POST['message'])) ;

Ensuite pour l'affichage :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$àAfficher = nl2br(htmlspecialchars($line['message'])) ;

[lisa.a]

négatif
je colle les nouveaux résultats qui marchent toujours pas (toujours avec la meme entrée dans le formulaire)
mon code php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$message=mysql_real_escape_string(strip_tags($_POST['message']));
 
    echo $message;
    echo "<BR />";
    echo nl2br(htmlspecialchars($message));
    echo "<BR />";

le résultat à l'écran

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
\r\n\'bravo super !\r\ng\"enil!\r\n
\r\n\'bravo super !\r\ng\"enil!\r\n

[Séb.]

Vu ce que tu fais de $_POST['message'] je ne vois pas d'anomalie.

[lisa.a]

moi non plus ...
et pourtant ils sont là ces \r et \n ...
alors ? j'ai ton aval pour passer en addslash ? ou jdois passer la nuit à debugger ?
enfin non pas la nuit parce que jvais me coucher là de toutes façons

[Séb.]

et pourtant ils sont là ces \r et \n ...

Et bien oui, c'est normal, mysql_real_escape_string( ) échappe les \r et les \n (entre autres), donc tu les vois apparaître à l'écran.
Cependant ta chaîne est censée être soumise à MySQL, ce qui n'est pas fait pour le moment.
MySQL digèrera les \r et \n échappés et ils n'apparaîtront plus en tant que littéraux lors de leur SELECTion future.

alors ? j'ai ton aval pour passer en addslash ? ou jdois passer la nuit à debugger ?

Faire ce qui est prévu suffira. Bref, envoie ta requête INSERT à MySQL avec mysql_query( ), et ensuite affiche les messages après extraction de la BdD (requête SELECT).
Sais-tu faire cela ?

enfin non pas la nuit parce que jvais me coucher là de toutes façons

Bonne nuit alors !

[lisa.a]

MySQL digèrera les \r et \n échappés et ils n'apparaîtront plus en tant que littéraux lors de leur SELECTion future.

oh ! j'avais pas compris que mysql retraitait la chaine encore derriere...


merci beaucoup en tout cas en effet ça marche nickel !!

Pour que je sache tu peux juste me raconter ce que fait mysql_real_escape_string de plus que addslash parce qu'ils sont pas tres détaillés dans la doc sur la différence "concrete" entre les deux ... enfin j'ai pas trouvé

[Séb.]

mysql_real_escape_string( ) échappe les caractères potentiellement dangereux pour MySQL.
addslashes( ) n'échappe que les ', " et \ : il a un usage plus générique.

[lisa.a]

oui justement c'était ça ma question, c'est quoi les caracteres dangereux pour sql à part ' ?