Discussion :

[rvm31]

bonjour

j'ai dans un bdd des chaines avec des ' et des ", qui ont été enregistré par un formulaire quand je veux les remettre dans un <input type="text"> les données sont tronquées.
exemple j'enregistre

les"tar'de l'oubli"

dans la bdd c'est correct dans mon champ value je n'ai que

les

quand je fais un echo sur la variable elle est affichée entière.

requête d'affichage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 $resultat = mysql_query($sqlidentifiant) or die(mysql_error());
 while ($identite =mysql_fetch_array ($resultat)){
 
 $pass=$identite['pass'];
 
 
 $mail=$identite['mail'];
 }
echo"<form action='compte-modif.php' method='POST'>";
 
        echo'Votre mot de passe:<input type="text" value="'.$pass.'" name="mpasse">';

requête d'envoi à la base

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$motdepasse=$_POST['mpasse'];
$motdepasse=  addslashes($motdepasse);
 
 $sqlupdateidentifiant="UPDATE utilisateurs  SET pass='$motdepasse' WHERE idutil='$identifiant'";
 mysql_query($sqlupdateidentifiant)OR DIE (mysql_error());

[Fench]

Bonjour,

Si tu as utilisé addslashes pour mettre en base alors c htmlentities pour l'affichage des données de la base.

Ex manuel

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$str = 'Un \'apostrophe\' en ';
 
// Affiche : Un 'apostrophe' en 
echo htmlentities($str);

enfin si je suis ce même manuel

[andry.aime]

Bonjour,

à la place de addslashes, utilise mysqli_real_escape_string pour l'insertion dans la base. Pour l'affichage dans un input, utilise htmlspecialchars($pass, ENT_QUOTES).

A+.

[rvm31]

à la place de addslashes, utilise mysqli_real_escape_string pour l'insertion dans la base

donc d'après la doc il vaut mieux utiliser ça que addslashes
j'ai essayé ça et ça ne fonctionne pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$motdepasse=mysqli_real_escape_string($motdepasse);

je ne comprend pas le $link

Style procédural

string mysqli_real_escape_string ( mysqli $link , string $escapestr )

[ericd69]

salut,

premièrement le connecteur mysql ainsi que addslashes, stripslashes, etc... vont être abandonnés par php

donc tu dois passer à mysqli ou pdo pour te connecter à mysql si tu as vocation à écrire du code qui reste valable de nombreuses années...

par contre attention à ne pas mélanger les fonctionnalités et contextes des différents connecteurs sous peine d'avoir de sales surprises

[andry.aime]

Effectivement ericd69, tu dois basculer du coté PDO ou msqli_*.
Mais si tu gardes les fonction msql_*, c'est mysql_real_escape_string que tu dois utiliser.

A+.

[Fench]

Bonjour à tous,

Alors Rvm31 fait du mysql, Andry du mysqli et Eric, lui fait du ... rien juste une remarque en effet pertinente sur le mysql.

Rvm31, c'est pas mysqli_real_escape_string mais pour ton cas mysql_real_escape_stringEric, tjs d'accord avec toi pour mysqli et Pdo

Alors Rvm31 au plus simple fait du mysqli

[rvm31]

Si j'ai donc tout compris si je veux utiliser mysqli, il faut que je réécrive tout ce qui est en mysql en mysqli

Alors Rvm31 au plus simple fait du mysqli

ok je vais donc faire au plus simple, puisque cette fonction est une modif d'un développement déjà fait.

[rvm31]

Bonjour
je reviens sur ce post car j'ai maintenant un souci avec les caractères accentués. Lorsque j'envoi une chaine avec des carctères rien ne s'affiche dans la formulaire aussi bien avec html entities que specialchars.
dansla base les données sont enregistrées correctement. un echo dans la page m'affiche bien le texte.
Lorsque le texte n' a pas de caractères accentués ça fonctionne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<!--ici rien ne s'affiche-->
<td ><h2>Titre<input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo htmlspecialchars($titre, ENT_QUOTES)?>"></h2>
<!--alors qu'ici ça fonctionne-->
    <?php echo $titre?></tr></table>

si au lieu de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo htmlspecialchars($titre, ENT_QUOTES)?>">

je mets

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo $titre ?>">

j'ai bien mes caractères accentués mais plus ce qui est entre les quotes
Comment faire pour avoir les deux.

[RunCodePhp]

Salut

Pas sûr d'avoir tout compris.

Comme cela a été dit, si une donnée (quelle vienne d'une Bdd ou pas) contient des caractères pouvant entrer en conflit avec le code HTML (les délimiteurs comme ' " < >, voire autre raisons), il suffit d'utiliser htmlspecialchars().

Peut être faudrait il donner un exemple concret d'une donnée dans ta Bdd causant problème, et mettre le résultat visuel que tu obtiens (donc pas correcte) et le résultat visuel que tu aimerais obtenir.


Par ailleurs, prends soin de voir le code source HTML généré dans la pages Web pour cette partie causant problème (clic droit : Code source de la page), ça permet souvent de mieux comprendre les choses.

[rvm31]

je vais donc essayer d'être plus concret.
dans un input text je rentre par exemple ça.

t'ci'o zinc" de cet été du mois d'août"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<!--titre du rush-->
 <td ><h2>Titre<input type="text" class="rushtitreformulaire" name="titrerush" ></h2></tr></table>

je l'insert dans la base.(J'ai utilisé addslashes puisqu'une grande partie du dev était déjà écrit comme ça.)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$titrerush=$_POST[titrerush];
$titrerush= addslashes($titrerush);
$sqlupdaterush="UPDATE rush SET numero='$numero', motscles='$mcglobal', son='$songlobal', titre='$titrerush',

je récupère cette chaine dans un formulaire de modification

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$sqlafichmaster= "  SELECT * FROM rush WHERE numero=$insertion" ;
 
 $resultat1 = mysql_query($sqlafichmaster) or die(mysql_error($sqlafichmaster));
 while ($rush =mysql_fetch_array ($resultat1)){
 
 	$titre=$rush['titre'];

je l'affiche dans le formulaire et rien n'apparait dans la champ input.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<!--titre du rush-->
 <td ><h2>Titre<input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo htmlspecialchars($titre)?>"></h2>

je fais un simple echo hors des champs input

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo $titre?>

et toute la chaine est affichée.


si je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Titre<input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo ($titre)?>">

seul est affiché

t'ci'o zinc de
au lieu de t'ci'o zinc" de cet été du mois d'août"

si j'enlève les caractères accentués

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

t'ci'o zinc de "cet ete du mois d'aout"

dans l'input avec htmlspecialchars la chaine complète est affichée sans problème


et come tu me l'a conseillé run php en regardant le code source avec le htmlspecialcharac et les caractères accentués le value est vide value=""

[RunCodePhp]

Ces 2 remarques me semble contradictoires.
En 1er :

seul est affiché
t'ci'o zinc de

En 2ème

et come tu me l'a conseillé run php en regardant le code source avec le htmlspecialcharac et les caractères accentués le value est vide value=""

Ce n'est pas logique.
C'est (théoriquement) impossible que d'un coté voir un texte tronqué dans le navigateur, et ne strictement rien voir dans le code source HTML.
Le navigateur ne peut pas afficher un contenu qui n'y serait pas dans le code source.
A mon avis tu n'as pas dû observer cela au même moment.
La logique veut que la totalité du contenu y soit (avec ou sans entités HTML) dans le code source, et ce serait son interprétation (navigateur) qui poserait problème (erreur dans le code).


Bon, peu importe.
En tenant compte uniquement de la 1ère remarque, il y aurait un conflit coté HTML avec les doubles quotes (-> ").
Pour ma part, tout le contenu se trouverait dans l'attribut value, comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<!--titre du rush-->
 <td ><h2>Titre<input type="text" class="rushtitreformulaire" name="titrerush" value="t'ci'o zinc" de cet été du mois d'août""></h2></tr></table>

Comme le délimiteur coté HTML (des attributs plus exactement) c'est des doubles quotes, et bien le navigateur perdrait les pédales, du coup le contenu est tronqué (une partie ignorée).
On s'aperçoit d'ailleurs que dans cet exemple, le contenu ne serait pas tronqué au hasard, c'est à partir de la 2ème double quotes.
Le navigateur interpréterait cette 2ème double quotes comme la fermeture de l'attribut value.
Ceci : value="t'ci'o zinc"
Le reste étant ignoré, l'interprétant comme une erreur.

Du moins, je pense que c'est cela qui se passerait.

D'où l'obligation de convertir les doubles quotes propre au contenu en entités HTML (ceux après zinc et aout) pour ne plus avoir de conflits.



As tu fais un essai en respectant à la lettre ce qu'on avait suggéré, c'est à dire avec ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<!--titre du rush-->
 <td ><h2>Titre<input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo htmlspecialchars($titre, ENT_QUOTES)?>"></h2>

En précisant ENT_QUOTES cela va convertir (en entité HTML) aussi bien les simples quotes que les doubles quotes.


Je réagit aussi à cela :

je l'insert dans la base.(J'ai utilisé addslashes puisqu'une grande partie du dev était déjà écrit comme ça.)

Ce n'est pas addslashes() qu'il faut utiliser pour des données coté Bdd, mais mysql_real_escape_string() lorsqu'on utilise les fonctions mysql_*.
C'est pourtant un point qu'on ne cesse de répéter sur ce forum, cela depuis pas mal d'années, tout de même.

Ce n'est parce qu'une erreur a été commise qu'il faut poursuivre dans l'erreur.
Le mieux serait de ne plus la faire, et dans la mesure du possible corriger le code précédent.
C'est un conseil, bien évidemment.

[rvm31]

merci RunCodePHP pour tes remarques
Donc effectivement ce n'était pas clair dans ce que j'ai écrit le value est vide quand le champ est vide. Pas d'aberration de ce côté.

Ensuite le problème vient bien de l'interprétation HTML.
si je met le value avec des simple quote, seul le t est affiché puisque en HTML le navigateur interprète le deuxième quote comme la fin.

value='t'ci'o zinc" de cet été du mois d'août"'

si je met le value avec des doubles quote; en HTML la fin est le deuxième double quote et j'obtient la fin de la chaine après zinc

value="t'ci'o zinc" de cet été du mois d'août"

Ma requête est écrite simplement comme ceci.
les htmlspecial_characters et html entities avec précision ENT_QUOTES ou pas renvoient une chaine vide.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo $titre ?>">

Je précise que dans ma base si je consulte avec PHPmyadmin les chaines apparaissent normalement sans les caractères d'échappement. Mais peut être est ce normal.

et bon pour les addslashes je vais changer ça, puisq'on me l'a répété pendant des années
mais quelle est la différence entre les deux.

[ericd69]

salut, c'est normal puisque tu as des ' ou " en plein milieu de la chaine donc quel que soit le délimiteur de chaine choisi la syntaxe est mauvaise

au passage le input devrait etre fermé avec un /> et non un simple > et mieux que ></input>

il faut que tu utilises htmlspecialchars mais attention à l'encodage:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="text" class="rushtitreformulaire" name="titrerush" value="<?php echo htmlspecialchars($titre,ENT_QUOTES,'UTF-8') ?>"/>

pour de l'utf-8...
au pire, tu peux utiliser aussi le flag ENT_IGNORE mais c'est déconseillé pour des raisons de sécurité...

[RunCodePhp]

il faut que tu utilises htmlspecialchars mais attention à l'encodage:

J'avais pensé un moment au jeu de caractère, mais jusqu'à lors (donc depuis 10 ans environ), j'ai jamais obtenu une chaine vide avec htmlspecialschars même en ne précisant pas l'encodage.


D'ailleurs, en faisant quelques test, je ne parviens pas à reproduire le même problème, c'est à dire une chaine vide.
Au pire j'obtiens des caractères bizarres, mais jamais une chaine vide.

Faudrait peut être faire le point sur l'encodage sur l'ensemble de ton projet, Php, MySQL, pages HTML, il y a peut être une incohérence par là (du coté de MySQL peut être).


Etonnant en tout cas

[rvm31]

Merci ericd69
c'était ça le problème avec le bon encodage de caractères (ISO-8859-1) ça fonctionne.

[RunCodePhp]

Merci ericd69
c'était ça le problème avec le bon encodage de caractères (ISO-8859-1) ça fonctionne.

Franchement étonnant, car la doc dit :

Encodage à utiliser lors de la conversion. Si omis, la valeur par défaut de cet argument sera ISO-8859-1 dans les versions antérieures à PHP 5.4.0, et UTF-8 à partir de la version PHP 5.4.0.

Ce qui sous-entend que si la version de Php est inférieur à 5.4.0 il n'y aurait pas lieu de préciser l'encodage ISO-8859-1 vu que c'est celui par défaut.


Ta version de Php serait alors PHP 5.4.0 ou supérieur ?



De plus, le caractère û (de août) devrait poser problème car ça n'y est pas dans l'ISO-8859-1 ???
Pour ma part, l'encodage sur l'ensemble de ton projet ne serait pas uniforme, de l'ISO-8859-1 par exemple.
Puis l'ISO-8859-1 ne contient pas tous le jeu de caractère qu'on peu avoir dans la langue Française, ce qui fait que tu peux rencontrer d'autres problèmes ailleurs tôt ou tard.

Ceci dit, si tout cela te semble suffisant, et bien pourquoi pas.