Un formulaire sécurisé

Bonjour ! C'est encore le plus grand des débutants qui vient vous solliciter ! :mrgreen:

J'ai un formulaire avec un textarea que je protège donc avec mysql_real_escape_string : (merci d'ailleurs de m'indiquer au passage d'éventuelles erreurs) !

Code:

---

'commentaire' => mysql_real_escape_string ($commentaire)));

---

Et le résultat s'affiche avec la fonction stripslashes

Code:

---

<?php echo stripslashes($donnees['commentaire']); ?>

---

Comme vous pouvez le voir, je n'utilise pas htmlspecialchars !

Je voulais savoir si code est bien protégé contre les injections et surtout... savoir quand utilise t-on htmlspecialchars ou stripslasches ou mysql_real_espace_string ?

Car j'ai recopier cette technique de divers site (dont celui-ci ;) ) sans trop savoir ce que je fais !

Merci pour vos explications !

Citation:

---

Je voulais savoir si code est bien protégé contre les injections

---

Tout dépend ce que tu fais, et à quel moment.

Citation:

---

et surtout... savoir quand utilise t-on htmlspecialchars

---

A l'affichage.

Citation:

---

ou stripslasches

---

A priori jamais.

Citation:

---

ou mysql_real_espace_string ?

---

Lorsque la valeur est destinée à la base de données.

Citation:

---

merci d'ailleurs de m'indiquer au passage d'éventuelles erreurs

---

La première des erreurs est d'utiliser l'extension mysql-*.

Il faut utiliser soit PDO soit mysqli-*.

Merci pour ses petites indications ! Il ne reste plus qu'à potasser ! ;)