mysql_real_escape_string(htmlspecialchars($_POST['texte'])) supprime une partie du texte

Version imprimable

15/10/2015, 20h53
setni

mysql_real_escape_string(htmlspecialchars($_POST['texte'])) supprime une partie du texte

Bonjour,

J'ai (encore) un bug sur du PHP qui nécessite votre aide.
J'utilise ceci pour insérer du texte dans ma base :

Code:

$texte = mysql_real_escape_string(htmlspecialchars($_POST['texte']));

C'est magnifique sur le papier mais quand un utilisateur du site entre quelque chose comme "test & test", seul test (avec l'espace) est inséré dans la base. Alors que selon la doc, le & devrais être remplacé par &

Merci d'avance de l'aide
15/10/2015, 22h58
rvm31

bonjour

ton problème ne viendrait pas du fait que tu n'est pas précisé les flags. pour moi avec ENT_QUOTES tout fonctionne.
https://secure.php.net/manual/fr/fun...ecialchars.php
16/10/2015, 10h28
rawsrc

Salut,

houlàaa, que vient faire htmlspecialchars dans une insertion en base de données ? mysql_real_escape_string suffit amplement.
En passant, l'extension mysql_xxx est cuite, il ne faut plus s'en servir et passer à celles qui lui succèdent : mysqli_ ou PDO
18/10/2015, 21h48
setni

Citation:

ton problème ne viendrait pas du fait que tu n'est pas précisé les flags. pour moi avec ENT_QUOTES tout fonctionne.
https://secure.php.net/manual/fr/fun...ecialchars.php

Malheureusement, ça ne change rien. test & test devient toujours test

Edit : Sur mon local host, rien n'est supprimé mais pas en ligne. En ligne, j'utilise la 5.3.10. Sur localhost : 5.6.2.
18/10/2015, 22h46
ABCIWEB

C'est plutôt les remarques de rawsrc qu'il faudrait prendre en considération...
19/10/2015, 10h44
setni

Bonjour,

J'ai placé l'instruction en affichage. "test & test" s’insère correctement dans la base mais à l'affichage j'ai "test "... Et aucun flag ne résout mon problème.

Je suis en train de me demander si je ne vais pas faire une Regex qui transforme le "&" en "et" manuellement... Très moche mais mieux que rien.
19/10/2015, 11h31
rawsrc

Poste ton code entier, on va gagner du temps
19/10/2015, 11h58
kalimukti

Citation:

Envoyé par rawsrc

Poste ton code entier, on va gagner du temps

D'accord avec toi, parce que là, je vois pas trop où est le problème.

En attendant, Setni, regarde plutôt du côté des prepare de PDO ou mysqli, non seulement ça t'évitera de passer par une extension obsolète de php, mais en plus peut-être cela règlera-t-il ton problème...

(en side note, @rawsrc: pas mal de placer la lettre au Corinthien dans un forum de Dev ;p)

Voici le code :
Code:

1 2 3 4 5 6 7 8 9 $texte_actu = mysql_real_escape_string($_POST['texte']); // puis requete d'insertion // code au chargement de la page $sql = 'SELECT texte FROM actu WHERE id_pro = '.$id.''; $query = mysql_query($sql); while ($result = mysql_fetch_array($query)){ $texte[] = htmlspecialchars($result['pseudo']); }
Pour ce qui est des éléments obsolete. Je ne souhaite pas PHP 7 pour l'instant sur mon serveur car la mise à jour va me prendre plusieurs jours au moins

Merci d'avance

21/10/2015, 20h51
rawsrc

Citation:

Envoyé par setni

BC'est magnifique sur le papier mais quand un utilisateur du site entre quelque chose comme "test & test", seul test (avec l'espace) est inséré dans la base.

Au départ tu nous parles d'un problème d'insertion en base et tu postes le code de sélection des données...

Poste le code entier de ta page, stp
21/10/2015, 21h14
setni

Le code entier de la page? Elle fait 1500 lignes...

Voici le header que j'utilise : header("Content-Type: text/html;charset=utf-8");

La question est : j'ai "test & test" dans la BDD. avec htmlspecialchars() comme défini haut dessus, ce qui sort est "test ".
C'est juste ça que je cherche à comprendre.
21/10/2015, 21h23
kalimukti

Citation:

Envoyé par setni

La question est : j'ai "test & test" dans la BDD. avec htmlspecialchars() comme défini haut dessus, ce qui sort est "test ".
C'est juste ça que je cherche à comprendre.

Ben htmlspecialchars("test & test") donne "test & test", quoiqu'il en soit, donc le problème vient d'ailleurs et cet ailleurs est compliqué à identifier sans le code. C'est toi qui vois...
Le problème vient soit de ta requete d'insertion, que tu ne mets pas, mais en même temps, si tu as bien test & test en base de donnée...
soit de ton affichage, mais là aussi difficile de comprendre pourquoi 'test & test' devient 'test ' qq part....

EDIT: dans ton premier post, tu dis "seul test (avec l'espace) est inséré dans la base" et là tu dis "j'ai "test & test" dans la BDD"... c'est lequel ? le problème vient avant l'entrée en BdD ? ou à l'affichage, à la sortie de la BdD ??? C'est pas clair, ton truc....
22/10/2015, 00h56
ABCIWEB

Le mieux serait que tu crée un petit exemple complet de code qui reproduise le problème. On pourrait mieux comprendre à quel niveau se situe le problème... Par ailleurs il est probable que tu résolve le problème en tentant de le recréer dans un exemple séparé (distinct de ton code actuel).
22/10/2015, 20h41
setni

Bonsoir

J'ai créé un exemple de test et j'ai compris d’où venait mon problème: ... de js.
En effet, je passe le texte par un ajax (l'utilisateur peut prévisualiser ce qu'il fait et/ou modifier)
Et du texte brut dans un ajax avec un & ça donne ça:

mapage.php?id=2&text=test & test

J'ai donc corrigé le problème à l'aide de encodeURIComponent et ça fonctionne maintenant

Merci pour l'aide et à la prochaine
23/10/2015, 00h08
ABCIWEB

Citation:

Envoyé par setni

J'ai créé un exemple de test et j'ai compris d’où venait mon problème: ... de js.

Tu vois que la méthode est efficace ;)

Citation:

Envoyé par setni

J'ai donc corrigé le problème à l'aide de encodeURIComponent et ça fonctionne maintenant

Au passage quand on utilise encodeURIComponent côté js, on utilise urldecode côté php pour récupérer la variable $texte = urldecode($_POST['texte']); Cela permet de récupérer correctement les caractères spéciaux ou accentués.