htmlentities ou htmlspecialchar inopérents

Version imprimable

Bonjour à tous

Je veux tester "htmlentities" pour pouvoir protéger ma base de donnée de malveillant qui introduirait des balises dans mon formulaire.
j'ai recopié quelques codes mais le résultat est apparemment que "htmlentities" comme "htmlspecialchars" sont inopérants

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
header('content-type: text/html; charset=utf-8');

if (isset($_POST['nom'])){

//dans l'input j'ai inscrit la phrase suivante: Un \'apostrophe\' en <strong>gras</strong>

		echo "nom = ".$_POST["nom"];echo'<br/>';//affichage : nom = Un \'apostrophe\' en gras

		echo "nom_htmlentities = ".(htmlentities($_POST["nom"]));echo'<br/>';//affichage : nom_htmlentities = Un \'apostrophe\' en <strong>gras</strong>
		 echo'<br/>';
}
		
		$str ='Un \'apostrophe\' en <strong>gras</strong>';

		echo "variable str = ". $str;echo'<br/>'; //affichage : variable str = Un 'apostrophe' en gras

		echo "str_htmlentities ".(htmlentities($str,ENT_QUOTES,"UTF-8"));echo'<br/>';//affichage :str_htmlentities = Un 'apostrophe' en <strong>gras</strong>
		
		echo'<br/>';echo'<br/>';
		

?>

<form action='test_reg.php' method='post'>
<input type ='text' size=10 style="width:300px;" name= "nom" >
<input type='submit' value='valider'><br><br>

29/03/2021, 11h22
MaitrePylos
Bonjour,
Ce n'est pas ce que la page affiche qui est important, mais bien ce qu'elle produit.
Si vous affichez le code source de votre page, vous verrez que cela fonctionne correctement.

Une partie du code source que vous générez.
Code:

1 2 variable str = Un 'apostrophe' en gras str_htmlentities Un 'apostrophe' en gras 
29/03/2021, 12h33
marco62118

Merci de ta réponse

J'ai bien vu dans ma base de données j'ai bien pour <DUFRESNE>= <DUFRESNE>

Mais pourquoi lorsque je fait echo(htmlentities($_POST["nom"])); je ne vois pas exactement le contenu alors que l'enregistrement dans la base est bien modifié
29/03/2021, 13h05
MaitrePylos

Désolé, mais je comprend pas bien votre question ?
29/03/2021, 14h36
marco62118

quand j'écris dans input , le nom est envoyé au serveur par la méthode POST
sur le serveur je récupère la variable _POST['nom'].
si dans le script il y un echo de cette variable , cet echo est bien envoyé vers l'utilisateur pour s'afficher sur la page et je vois bien l'écho s'afficher avec la valeur de la variable.
Alors que l'écho d'une variable modifiée avec htmlentities n'affiche pas la valeur de la variable modifiée.
29/03/2021, 15h56
mathieu

Citation:

Envoyé par marco62118

Alors que l'écho d'une variable modifiée avec htmlentities n'affiche pas la valeur de la variable modifiée.

d'après votre 1er message, la valeur saisie dans le formulaire est bien affichée.
quel résultat souhaitez-vous avoir ? donnez nous un exemple.
29/03/2021, 18h01
marco62118

je vous remercie pour vos réponses

En fait le code source marque bien le htmlentities alors que l'affichage à l'écran interprète les entités html comme < et les affiche à l'écran avec leur représentation <

(si j'ai bien compris)