Discussion :

[popy67]

Bonjour,

Je viens de créer un formulaire qui enregistre des données dans une base de données. Magic_quote par défaut était activé, l'internaute saisit un texte il y a systématiquement un antislash devant des apostrophes ou guillemets, je desactive magic_quote ce problème est reglé sauf que maintenant si je mets un code malicieux tel que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<script language="JavaScript">
window.location='http://...'
</script>

ce code est interpreté et redirige le visiteur.
Je sais qu'il existe la fonction htmlspecielchars() qui permettrait de convertir les caractères spéciaux mais n'y a t'-il pas une autre fonction plus simple pour éviter ca ?

Pour les requetes, j'utilise PDO.
Merci d'avance pour vos réponses.

[sabotage]

Qu'est ce que htmlspecialchars() a de compliqué ?

[popy67]

Qu'est ce que htmlspecialchars() a de compliqué ?

Salut,

Merci pour ta réponse,
C'est rebarbatif à mettre en place je trouve.
Je pensais toujours que PDO etait censé protéger les injections sql et ce genre de choses sans mettre d'antislash inutiles devant les caractères apostrophes et guillements, le tout avec un magic_quotes à off comme c'est actuellement préconisé.

[sabotage]

PDO traite de bases de données ; les requêtes préparées avec arguments (et uniquement ce cas) protègent des injections SQL.

Pour l'affichage de données, il faut protéger également.