Discussion :

[Vinyl]

Bonjour,

Je me suis fait un back office pour un petit site.

L’utilisateur peut saisir les balises titles, description et l’attribut alt de la balise img.

Pour éviter d’insérer des caractères non autorisés, je transforme la chaine comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$champAlt = htmlspecialchars($data['description'], ENT_QUOTES);

Est ce que c’est suffisant ? Faut-il utiliser htmlentities ? Ou faire un str_replace ?

Merci d'avance pour vos réponses.

[Rakken]

A titre personnel, j'ai longtemps utilisé htmlentities avec l'option ENT_QUOTES et ça marchait nickel, aussi bien pour l'insertion en base que le tests de créer un compte avec un nickname qui est "<script>alert('coucou');</script>" ^_^
(Les users sont parfois de petits farceurs )

[ABCIWEB]

Pour éviter d’insérer des caractères non autorisés, je transforme la chaine comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$champAlt = htmlspecialchars($data['description'], ENT_QUOTES);

Est ce que c’est suffisant ?

Normalement c'est suffisant ou même htmlspecialchars($data['description']) ce qui permet d'éviter de spécifier l'encodage.

[Vinyl]

Merci pour vos réponses.

C'est marrant, j'avais testé sans l'option ENT_QUOTES et ça ne fonctionnait pas. Je viens de retester et ça fonctionne. Sans doute une erreur de ma part.

J'ai regardé la doc sur htmlspecialchars

Est ce que vous pouvez m'expliquer dans quel cas utiliser le flag ENT_QUOTES ?

[ABCIWEB]

Pour protéger l'affichage, la config par défaut est suffisante.

En dehors de cette utilisation basique on a parfois besoin de traitements spéciaux et c'est à cela que servent les options.
Mais pour une utilisation courante visant à protéger des variables php pour l'affichage HTML je n'ai pas d'exemple qui me vienne en tête car cette fonction est prévue pour cela et elle rempli donc correctement son rôle avec sa configuration par défaut.