Hello tout le monde!

Alors voila, pour sécuriser mes formulaires, je les récupère comme ceci:



Premiere question: Est ce suffisant pour les sécuriser?

Ensuite, je les enregistre dans ma base de données, et pour les récupérer, je fais comme tel:



Comment faire un stripslashes sur $contenu?

Je suis obligé de m'y prendre en deux lignes?

Merci d'avance pour votre aide

Salut!

Pour ta première question, je te conseille d'ajouter un htmlentities pour sécuriser mieux. Les addslashes sont alors pas vraiment nécessaires


Pour la 2eme question, tu peux faire ainsi:


a++

Salut,

Malheureusement le stripslashes() seul ne suffit pas, tu dois aussi veiller à ce que le visiteur n'entre pas de code html et javascript malveillant. Pour celà, tu peux utiliser la fonction htmlentities()

Pour ta deuxième question tu peux tout bêtement faire normalement car mysql_result renvoie une chaine.


Voila

Le probleme, c'est que j'ai fait un system de BBcode, et a l'insertion dans la bdd, il ne faut pas que j'ai de caractères convertit en html!

Car pour afficher le contenu de la bdd, mon system affiche les caractères en entité html!


(vraiment sympas ce forum)

Tu as deux solutions:

- Soit alors tu convertis tous les caractères "dangereux"
Donc tu transformes <, >, &, etc.

- Soit dans ton script du bbccode tu fais l'operation inverse et tu met les entites html.

Citation : zim

Et si cela est possible, comment faire l'inverse que htmlentities?

Il existe une fonction qui fait ca:


a++

Et l'opération inverse, je la fais comment?

Edit: merci, je vais essayer!

Edit Bis:

Donc:

Insertion des données sql


Récupération et affichage:



Et la par exemple si $contenu contient une chaine de ce type dans mysql:

Introduction de l&#039;article

Sa m'affiche Introduction de l&#039;article et non pas Introduction de l'article

Si tu veux faire le contraire de htmlentities après, autant ne pas l'utiliser... Et si tu utilise html_entities_decode, donc tes visiteurs pourront entrer du javascript.

Moi personnellement je ferai:

Pour le problème, je crois que php version < 5 ne gère pas les accents etc lors du décodage.. tant pis..

1/ Qui vous dit que mon script est destiné au visiteurs? (ce n'est pas le cas)

2/ Pourquoi j'utilise htmlentities? Juste pour ne pas faire planter mes insertion sql, a la base j'avais dit que ce n'était pas primordial.

3/ Merci a vous deux tout de meme d'avoir pris le temps de m'aider, je viens de régler le probleme en incluant le html entities decode dans ma fonction meme.

4/ Si un jour mon script est destiné aux visiteurs, je repenserai le coté sécurité en effet, tu fais bien de me le signaler!

Encore merci @ vous!