Bonne pratique htmlspecialchars ou pas htmlspecialchars en PDO

Version imprimable

Bonjour à tous et à toutes.
J'ai une question idiote à poser.
Je passe mes requêtes SQL en PDO.

Est ce qu'il faut mettre htmlspecialchars à la place de mysql_real_escape_string quand on insert ou update dans une table ou c'est plus la peine.
depuis ça :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 $pseudo = $_POST['pseudo']; $message = $_POST['message']; // puis on entre les données en base de données : $insertion = $bdd->prepare('INSERT INTO messages (auteur, message) VALUES(:aut,:mess)'); $insertion->bindValue('aut', $pseudo, PDO::PARAM_STR); $insertion->bindValue('mess', $message, PDO::PARAM_STR); try { $insertion->execute(); } catch (PDOException $e) { echo 'Error : ' . $e->getMessage(); die(); } $insertion->closeCursor();
Merci de vos réponses car les " dans la table m'ennuies.

08/04/2016, 16h21
Celira

La fonction htmlspecialchars et sa cousine htmlentities servent à encoder des caractères HTML (notamment pour protéger des injections XSS) Donc utiliser ça pour l'insertion en base de données, c'est comme mettre des chaussettes pour éviter d'avoir froid à la gorge. :mouarf:

Pour protéger des données pour l'insertion en base de données avec PDO, il faut utiliser les requêtes préparées et passer les paramètres à l'exécution par bindParam, bindValue ou directement dans execute.
Donc ton exemple est très bien :D
08/04/2016, 17h23
Sergio_zero

Merci pour ta réponse.
Si je comprend bien, si je fait toujours mes insert comme l'exemple ce n'est pas la peine de protéger les variable avec htmlspecialchars
12/04/2016, 14h24
mathieu

oui c'est ça, bindValue s'occupe de protéger la valeur pour l'utiliser dans la requête
17/04/2016, 09h24
Sergio_zero

Merci Mathieu
18/04/2016, 08h58
grunk

En revanche ça dispense pas de d'utiliser htmlspecialchars ou htmlentities à l'affichage.

C'est pas lié à PDO, c'est juste que sur un insert de BDD on protège les injections SQL , mais on garde les données le plus brute possible pour faciliter d'éventuels traitement dessus. La protection cliente s'effectue à l'affichage pas à l'enregistrement.

La plus part des moteurs de template un peu sérieux le font par défaut d'ailleurs.