[AJAX] Caractères spéciaux et enregistrement dans base SQL

Version imprimable

Bonjour.

Je cherche à enregistrer une chaine de caractères contenue dans un DIV contenteditable dans une base SQL. Cela fonctionne correctement sauf quand cette chaine comporte les caractères ">", "<" et "&".

Voici une portion de mon code html :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> etc... </head> <body> <input type="image" onclick="save();" src="./image/save.png" /> <div id="texte" contentEditable ></div> etc... </body> </html>
Voici mon code JAVASCRIPT qui correspond à la fonction "save();" :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 // reponse XHR et affichage du contenu du Div function traitementSave() { if(objetXHR50.readyState==4) { if(objetXHR50.status==200) { alert ("Sauvegarde OK"); } } } // lien avec le fichier PHP function save() { var texte = document.getElementById("texte").innerHTML; var parametres = "texte="+texte; objetXHR50 = creationXHR(); objetXHR50.onreadystatechange = traitementSave; objetXHR50.open("post","./save.php",true); objetXHR50.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); objetXHR50.send(parametres); }
Voici une portion de mon code PHP :
Code:

1 2 $texte = $_POST['texte']; mysql_query (" INSERT INTO maTable (texte) VALUES ('$texte') ");
Donc, comme je le disais, si je saisie "Tout va bien dans le meilleur des mondes !", l'enregistrement s'effectue correctement dans ma base de donnée.

Si je saisie "Le chiffre 7 > 3", l'enregistrement retourné est "Le chiffre 7".

Pour mon code PHP, j'ai essayé ceci :
Code:

1 2 $texte = htmlspecialchars($_POST['texte']); mysql_query (" INSERT INTO maTable (texte) VALUES ('$texte') ");
Mais malheureusement, l'enregistrement dans la base est bloqué au caractère ">".

Dernières précisions :
- Grâce à la commande "execCommande", j'insère du style dans mon DIV (exemple : <span style="font-weight: bold;">mon texte</span>) et ça fonctionne.
- J'ai essayé de créer un bouton permettant d'insérer le code ASCII ou le code HTML du caractère "&" et ainsi obtenir (exemple : mon texte & un autre texte) ou (exemple : mon texte & un autre texte)

Ceci n'a pas réglé mon problème...

Quelqu'un peut-il m'aider svp ?

09/04/2012, 18h20
zulad
Salut, pour les changements de caractère spéciaux il vaut mieux faire une table de mapping coté Javascript ou PHP. Du style :
Code:

1 2 3 4 5 6 $in = [ ">" => ">", "<" => "<", ... ]; $out = [ ">" => ">", "<" => "<", ... ]; $out[">"] // <-- ">"
Javascript c'est du .replace...

Bonjour

Côté JAVASCRIPT, j'ai essayé ceci :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 function save() { var texte = document.getElementById("texte").innerHTML; texte = texte.replace(/&/g, "&" ); texte = texte.replace(/</g, "<" ); texte = texte.replace(/>/g, ">" ); var parametres = "texte="+texte; objetXHR50 = creationXHR(); objetXHR50.onreadystatechange = traitementSave; objetXHR50.open("post","./save.php",true); objetXHR50.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); objetXHR50.send(parametres); }
Là encore, le problème reste le même. L'enregistrement dans la base SQL est bloqué par l'un de ces trois caractères...

Je suis en train de me dire que je vais régler le problème en remplaçant ces caractères par des images. Au moins, je n'aurai pas ce genre de mésaventure...

Une autre idée ?

10/04/2012, 07h57
Bovino

Aucun besoin de transformer les caractères spéciaux...

Code:

texte = encodeURIComponent(text);
10/04/2012, 10h41
bob633

+1 Ton $_POST fait déjà le boulot.

Après il y a une histoire de magic_quote activé ou pas. Le mieux est de désactiver (s'il l'est sur ton serveur) et de passer un coup de mysql_respace_string() sur ton $_POST avant de l'insérer dans la BDD.
10/04/2012, 18h17
grafistolage

J'ai testé "encodeURIComponent" et, en effet, tout fonctionne correctement. Merci à toi, Bovino, pour cette réponse qui m'aide énormément.

Malgré tout et ce, pour ma culture générale, peux tu m'expliquer pourquoi dans une chaine de caractère de ce type : <span style="font-weight: bold;">Texte en gras > (supérieur) </span>texte normal...
L'encodage grace à la fonction encodeURIComponent converti cette chaine de cette manière : <span style="font-weight: bold;">Texte en gras > (supérieur) </span>texte normal...
Je ne comprends pas pourquoi ce signe n'est pas converti dans "</span>" par exemple.

Quoiqu'il en soit, même si je ne comprends pas pourquoi, cela m'arrange bien ;).

Enfin, Bob633, je vais tester ta solution et posterai un petit message pour donner mes conclusions.

Merci à vous deux.
11/04/2012, 16h58
Watilin
Salut,

je pense que tu confonds avec autre chose. encodeURIComponent, c'est du JavaScript, et ça convertit tous les caractères qui ont un sens spécial dans une URI, entre autres <, >, ", : et les espaces. Le caractère encodé est représenté par un % et deux chiffres hexa, par exemple %3A.

Quelques idées d'ordre plus général : il y a deux principes à respecter si on veut éviter les complications :
1. Ne jamais faire confiance aux données provenant du client. N'importe quel lamer peut crafter une requête Ajax avec Firebug depuis tes pages web, ton serveur ne verra pas la différence. C'est ton serveur PHP qui doit transformer les données.
2. Toujours stocker du contenu « sain » dans ta base de données, autrement dit transformer les chaînes, et notamment échapper le HTML, avant de faire INSERT. C'est bon pour les performances du serveur, car le filtrage sera fait seulement au moment du stockage, et pas à la lecture. Si besoin, prévoir un script CLI pour vérifier / nettoyer le contenu de la base en cas de doute.