Version imprimable
Bonjour,
j'ai besoin d'un peu d'éclaircissement sur la sécurité PHP
voilà je souhaite sécurisé un formulaire en php mais c est un peu flou
par exemple j'ai
dans quel cas utilisé mysql_real_escape_string ou htmlspecialchars ou htmlentitiesCode:$var=mysql_real_escape_string(htmlspecialchars($_POST['var']));
Merci de votre aide
Salut,
mysql_real_escape_string sur toutes données textuelles en entrée
intval (ou équivalent) sur toute données numérique en entrée
htmlentities sur toutes données en sortie
Bonjour,
mysql_real_escape_string sert à protéger une requête pour MySQL pour éviter les injections SQL
htmlspecialchars et htmlentities permettent de remplacer les caractères spéciaux par leur code html.
Par exemple si quelqu'un saisie <a href="son site">click ici !</a> dans ton formulaire et que tu affiches ce qui a été saisie sur ton site, le lien apparaitra. Alors que si tu utilise ces fonctions, ça sera écrit comme ce que tu viens de lire. les caracteres < et > seront remplacer pour ne pas être interprété comme du code html.
En général, en base de donnée, on stocke ce qui a été saisie et on utilise htmlspecialchars et htmlentities uniquement pour l'affichage.