[SQL] htmlentities(), nl2br() et base de donnée ?

Version imprimable

11/01/2006, 09h39
Ambri

[SQL] htmlentities(), nl2br() et base de donnée ?
Bonjour...

J'ai lu dans une réponse qu'il ne fallait pas entrer de données htmlentifiées dans une base de données... (pourtant j'en vois beaucoup qui le font.)
Code:

1 2 3 4 5 $message = htmlentities($_POST['message']); ... mysql_query(INSERT INTO blabla VALUES ($message));
Donc ça, c'est pas à faire ?

Il faut donc mettre des htmlentities() à chaques valeurs qu'on sort de la base de données ?

Quelle est la raison exactement pour laquelle il ne faut pas entrer de code htmlentifié dans la base de donnée ? Parceque j'ai cherché et... je ne trouve pas.

Merci si vous pouvez me donner une réponse clair. :)
11/01/2006, 10h03
Fladnag

c'est simple :

Il est plus logique, d'un point de vue fonctionnel, d'entrer dans la base de donnée EXACTEMENT ce que l'utilisateur tape, avec le moins de modifications possible.

Dans le cas d'un forum par exemple, cela te permettra d'implementer facilement une solution d'edition de message, en restituant a l'identique le texte tapé.

La seule methode a appeller avant l'insertion en base est donc l'une de celle la :
addslashes
mysql_real_escape_string

qui permet juste de ne pas faire planter la requete SQL.

Evidemment, si tu fait ca et que tu désactive le html dans tes messages, ca veux dire qu'il faudra ensuite, a chaque affichage, appeller htmlentities... alors que si tu le fait a la source, lors de l'insertion dans la base, tu n'a pas a le faire... reste a voir si tu veux une solution propre mais moins performante, ou une solution moins propre un peu plus performante...

Si tu souhaite implementer une edition de message et que tu utilise htmlentities, il te faudra alors creer une methode qui fait le travail inverse de htmlentities ! Ou alors faire un code d'insertion spécifique lors de l'edition qui n'appelle pas a nouveau htmlentities... ce qui veux dire que si tu ajoute du nouveau texte tu doit le taper en html... bref, pas tres facile.
11/01/2006, 10h16
Ambri

Ah ok ! j'avais pas pensé effectivement à l'édition.
Merci de ta réponse ! J'y vois plus clair maintenant. ^^
11/01/2006, 11h44
trattos

Moi aussi je faisait ça mais je me suis rendu compte que tu pouvais avoir des problêmes au niveau du dimensionnement de tes champs.
Exemple: un champs VARCHAR(40) il suffit que le texte comporte quelque caractères spéciaux pour que le texte de rentre pas en entier!
11/01/2006, 12h05
Ambri

Hum... j'ai un petit problème...
Ma version de php ne trouve pas la fonction mysql_real_escape_string()...

Une manière spéciale de l'appliquer ?
11/01/2006, 12h07
Mr N.

Soit tu passes à une version récente de php, soit tu utilises mysql_escape_string (PHP >= 4.0.3)
11/01/2006, 12h56
Ambri

C'est corrigé ! C'était juste mon éditeur de code qui était un peu périmé et qui ne reconnaissait pas la fonction. :)