Discussion :

[grafistolage]

Bonjour.

Je cherche à enregistrer une chaine de caractères contenue dans un DIV contenteditable dans une base SQL. Cela fonctionne correctement sauf quand cette chaine comporte les caractères ">", "<" et "&".

Voici une portion de mon code html :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<!DOCTYPE html>
<html>
     <head>
          <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
          etc...
     </head>
 
     <body>
          <input type="image" onclick="save();" src="./image/save.png" />
          <div id="texte" contentEditable ></div>
          etc...
     </body>
</html>

Voici mon code JAVASCRIPT qui correspond à la fonction "save();" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
// reponse XHR et affichage du contenu du Div
function traitementSave() {
    if(objetXHR50.readyState==4) {
        if(objetXHR50.status==200) {
            alert ("Sauvegarde OK");
        }
    }
}
 
// lien avec le fichier PHP
function save() {
    var texte = document.getElementById("texte").innerHTML;
    var parametres = "texte="+texte;
    objetXHR50 = creationXHR();
    objetXHR50.onreadystatechange = traitementSave;
    objetXHR50.open("post","./save.php",true);
    objetXHR50.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    objetXHR50.send(parametres);
}

Voici une portion de mon code PHP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$texte = $_POST['texte'];
mysql_query (" INSERT INTO maTable (texte) VALUES ('$texte') ");

Donc, comme je le disais, si je saisie "Tout va bien dans le meilleur des mondes !", l'enregistrement s'effectue correctement dans ma base de donnée.

Si je saisie "Le chiffre 7 > 3", l'enregistrement retourné est "Le chiffre 7".

Pour mon code PHP, j'ai essayé ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$texte = htmlspecialchars($_POST['texte']);
mysql_query (" INSERT INTO maTable (texte) VALUES ('$texte') ");

Mais malheureusement, l'enregistrement dans la base est bloqué au caractère ">".

Dernières précisions :
- Grâce à la commande "execCommande", j'insère du style dans mon DIV (exemple : <span style="font-weight: bold;">mon texte</span>) et ça fonctionne.
- J'ai essayé de créer un bouton permettant d'insérer le code ASCII ou le code HTML du caractère "&" et ainsi obtenir (exemple : mon texte &amp; un autre texte) ou (exemple : mon texte &#38; un autre texte)

Ceci n'a pas réglé mon problème...

Quelqu'un peut-il m'aider svp ?

[zulad]

Salut, pour les changements de caractère spéciaux il vaut mieux faire une table de mapping coté Javascript ou PHP. Du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
 
$in = [ ">" => "&gt;", "<" => "&lt;", ... ];
$out = [ "&gt;" => ">", "&lt;" => "<", ... ];
 
$out["&gt;"] // <-- ">"

Javascript c'est du .replace...

[grafistolage]

Bonjour

Côté JAVASCRIPT, j'ai essayé ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
function save() {
    var texte = document.getElementById("texte").innerHTML;
    texte = texte.replace(/&/g, "&" );
    texte = texte.replace(/</g, "&lt;" );
    texte = texte.replace(/>/g, "&gt;" );
 
    var parametres = "texte="+texte;
    objetXHR50 = creationXHR();
    objetXHR50.onreadystatechange = traitementSave;
    objetXHR50.open("post","./save.php",true);
    objetXHR50.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    objetXHR50.send(parametres);
}

Là encore, le problème reste le même. L'enregistrement dans la base SQL est bloqué par l'un de ces trois caractères...

Je suis en train de me dire que je vais régler le problème en remplaçant ces caractères par des images. Au moins, je n'aurai pas ce genre de mésaventure...

Une autre idée ?

[Bovino]

Aucun besoin de transformer les caractères spéciaux...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

texte = encodeURIComponent(text);

[bob633]

+1 Ton $_POST fait déjà le boulot.

Après il y a une histoire de magic_quote activé ou pas. Le mieux est de désactiver (s'il l'est sur ton serveur) et de passer un coup de mysql_respace_string() sur ton $_POST avant de l'insérer dans la BDD.

[grafistolage]

J'ai testé "encodeURIComponent" et, en effet, tout fonctionne correctement. Merci à toi, Bovino, pour cette réponse qui m'aide énormément.

Malgré tout et ce, pour ma culture générale, peux tu m'expliquer pourquoi dans une chaine de caractère de ce type : <span style="font-weight: bold;">Texte en gras > (supérieur) </span>texte normal...
L'encodage grace à la fonction encodeURIComponent converti cette chaine de cette manière : <span style="font-weight: bold;">Texte en gras &gt; (supérieur) </span>texte normal...
Je ne comprends pas pourquoi ce signe n'est pas converti dans "</span>" par exemple.

Quoiqu'il en soit, même si je ne comprends pas pourquoi, cela m'arrange bien .

Enfin, Bob633, je vais tester ta solution et posterai un petit message pour donner mes conclusions.

Merci à vous deux.

[Watilin]

Salut,

je pense que tu confonds avec autre chose. encodeURIComponent, c'est du JavaScript, et ça convertit tous les caractères qui ont un sens spécial dans une URI, entre autres <, >, ", : et les espaces. Le caractère encodé est représenté par un % et deux chiffres hexa, par exemple %3A.

Quelques idées d'ordre plus général : il y a deux principes à respecter si on veut éviter les complications :

1. Ne jamais faire confiance aux données provenant du client. N'importe quel lamer peut crafter une requête Ajax avec Firebug depuis tes pages web, ton serveur ne verra pas la différence. C'est ton serveur PHP qui doit transformer les données.
2. Toujours stocker du contenu « sain » dans ta base de données, autrement dit transformer les chaînes, et notamment échapper le HTML, avant de faire INSERT. C'est bon pour les performances du serveur, car le filtrage sera fait seulement au moment du stockage, et pas à la lecture. Si besoin, prévoir un script CLI pour vérifier / nettoyer le contenu de la base en cas de doute.