htmlentities et mysql_real_escape_string

Version imprimable

05/07/2009, 18h33
Kruggs

htmlentities et mysql_real_escape_string
Bonjour,
J'ai cherché un peu partout, mais une question me pose :p

J'ai protégé mes données avant la requête avec un mysql_real_escape_string
Bon sa marche bien il me des \ partout etc

Mais hummm quand on veux afficher ces données ensuite, il va m'afficher les \ aussi lol
Comment je retire cela ?

Sinon, imaginon ceci :
Code:

1 2 <input name="prenom" type="text" class="validate['required'] text-input" value="<?php echo htmlentities($auteur[0]['prenom_auteur']); ?>">
Si dans le prenom il y a un " ( guillemet ) pour x raison :)
sa va fermer le parametre value avant la fin :(

Je ne vois pas comment faire pour afficher des caractere comme sa, meme en echappant tout, sinon faut affiche direct \" etc ??

Merci d'avance :)
05/07/2009, 22h17
FoxLeRenard
Citation:

Envoyé par Kruggs

Bonjour,
J'ai cherché un peu partout, mais une question me pose :p
J'ai protégé mes données avant la requête avec un mysql_real_escape_string
Bon sa marche bien il me des \ partout etc
Mais hummm quand on veux afficher ces données ensuite, il va m'afficher les \ aussi lol
Comment je retire cela ?
Merci d'avance :)

Simplement a la relecture de tes variables de MySQL tu dois faire
Code:

1 2 $User= stripslashes($User);
05/07/2009, 22h41
sabotage

C'est avant l'insertion qu'il faut retirer les \ en trop : ils n'ont rien a faire dans la base.
Desactive les magic_quotes, je suppose qu'ils viennent de la.

euu a ba je me demandais aussi pkoi on mettais sa dans la base :p

Je ne pense pas avoir les magic quote, c un serveur ovh en passant, je regarderais.

Il ya un truk que je comprend pas, si j'utilise "mysql_real_escape_string" pour eviter des caractere speciaux dans les donnée entrées, il va mettre des \ partout et du coup dans la base aussi
en théorie "mysql_real_escape_string" protege mais ne change pas les données ?
donc je ne devrait pas avoir de \ ??

Mais humm si l'utilisateur rentre dans un input <h1>teste</h1> et que je veux qu'il sauvegarde cela dans la base, et que quand j'affiche, sa m'affiche <h1>teste</h1> sans l'interpreter ? :)

Et si dans le champ il met haha'huhu, avec le "mysql_real_escape_string" ca va m'eviter des pb sur la requete, ok, mais pour afficher, sa va fermer mon champ :(
Code:

1 2 3 echo "<label>Compétences ".$i ."<span class='small'>19 maximums (facultatif)</span></label> <input name='competence".$i."' type='text' class='validate['required'] text-input' value='".stripslashes($value['label'])."'> <br/>";
Du coup je ne voit que haha lol

06/07/2009, 00h40
sabotage

Si ton utilisateur saisie ahah'huhu

mysql_real_escape_string va donner ahah\'huhu

Le \ est ensuite reconnu par mysql comme caractere d'echappement et ne sera pas present dans la donnée finale inseré dans la base.

Ensuite pour l'affichage le probleme se repose
si dans ta base tu as ahah"huhu, quand tu veux l'afficher :

Code:

value="ahah"huhu"

Le " casse la chaine et donc tu ne vois que ahah

Code:

value="'.htmlspecialchars($value['label']).'"

Tu remarqueras au passage qu'en HTML, on utilises " et non '
06/07/2009, 16h23
Kruggs
humm moi il enregistre dans la base les \, cela serais du a des magic quote sur ON ?
Code:

1 2 value="'.htmlspecialchars(stripslashes($value['label'])).'">
Avec cela, sa fonctionne, mais je doit enlever les \ huhu

Merci pour les informations :)
Faut que je trouve pourquoi il y des \ dans la base du coup

Edit : c'est bon apres verification, jai les magicquote:(:(:(
Bon ba j'ai capter, merci pour les infos :)