Slash devant les apostrophes

Version imprimable

28/03/2010, 10h46
popy67

Slash devant les apostrophes
Bonjour,

Je viens de créer un formulaire qui enregistre des données dans une base de données. Magic_quote par défaut était activé, l'internaute saisit un texte il y a systématiquement un antislash devant des apostrophes ou guillemets, je desactive magic_quote ce problème est reglé sauf que maintenant si je mets un code malicieux tel que
Code:

1 2 3 <script language="JavaScript"> window.location='http://...' </script>
ce code est interpreté et redirige le visiteur.
Je sais qu'il existe la fonction htmlspecielchars() qui permettrait de convertir les caractères spéciaux mais n'y a t'-il pas une autre fonction plus simple pour éviter ca ?

Pour les requetes, j'utilise PDO.
Merci d'avance pour vos réponses. :)
28/03/2010, 11h06
sabotage

Qu'est ce que htmlspecialchars() a de compliqué ?
28/03/2010, 11h42
popy67

Citation:

Envoyé par sabotage

Qu'est ce que htmlspecialchars() a de compliqué ?

Salut,

Merci pour ta réponse,
C'est rebarbatif à mettre en place je trouve.
Je pensais toujours que PDO etait censé protéger les injections sql et ce genre de choses sans mettre d'antislash inutiles devant les caractères apostrophes et guillements, le tout avec un magic_quotes à off comme c'est actuellement préconisé.
28/03/2010, 11h56
sabotage

PDO traite de bases de données ; les requêtes préparées avec arguments (et uniquement ce cas) protègent des injections SQL.

Pour l'affichage de données, il faut protéger également.