[Sécurité] Remplacement des caractère spéciaux d'une chaine de carac^èr [Tutoriel]

**krfa1** · 25/09/2005, 15h49

Bonjour,

J'ai un petit soucis tout con, j'aimerais savoir comment on pourrais modifier une chaine de caractère qui contient des éléments susceptible de perturber une insertion dans une base de donnée, etc.. Comme les guillemet, ou le 'dièze'.

Merci d'avacne pour votre précieuse aide

**Séb.** · 25/09/2005, 15h51

Salut !
Vois mysql_real_escape_string( )

(à préférer à addslashes( ))

**krfa1** · 25/09/2005, 15h54

Ah, ok merci bien. Mais je me suis fait une fonction pour tout ces problèmes de base de donnée. J'ai fait cette petite fonction, est-ce qu'elle est bien???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
	$texte = nl2br($texte);
	$texte = addslashes($texte);
	$texte = htmlspecialchars($texte,ENT_QUOTES);

merci d'avance

**Séb.** · 25/09/2005, 16h08

Franchement, t'as réussi à condenser en une fonction tout ce qu'il ne faut *jamais* faire avant une insertion en BdD

nl2br( ) : Tu n'as pas à stocker de <br> en BdD. Le nl2br( ) doit être effectué à l'affichage. Ou alors si tu les stockes en BdD c'est que tu les as sciemment saisis et que tu sais ce que tu fais
addslashes( ) : Fais au moins un get_magic_quotes_gpc( ) pour savoir si ces saloperies de magic-quotes ont déjà fait leur sale boulot ou non, histoire de ne pas se retrouver avec du je t\'aime à l'affichage
htmlspecialchars( ) : Pareil que nl2br( ), c'est une fonction qui ne doit servir qu'à l'affichage, sinon t'auras l'air malin avec tes entités HTML le jour ou tu devras exploiter ta BdD sur un autre support que le web

Non vraiment, en lieu et place de tout cela fait un mysql_real_escape_string( ), puis *à l'affichage* un htmlspecialchars( ) *suivi* éventuellement d'un nl2br( ) (et pas l'inverse sinon les <br> seront affichés).

**krfa1** · 25/09/2005, 17h27

Ah, ok ,mais il faut aussi faire l'inverse pour quand on reprend les valeures dans la base de données???

Merci bien pour ton aide

**Séb.** · 25/09/2005, 17h37

Envoyé par krfa1

Ah, ok ,mais il faut aussi faire l'inverse pour quand on reprend les valeures dans la base de données???

Si tu suis ce que j'ai donné plus haut tu n'auras jamais à faire d'opération inverse, c'est là l'intérêt.

**krfa1** · 25/09/2005, 18h00

Ah, ok alors ouai, ça c'est pratique. Et pendant qu'on y est, a quoi faut il faire attention avec ces caractères spéciaux ou autre problème de se style, même sans qu'il y ait un rapport avec une base de donnée?

**ska_root** · 25/09/2005, 18h20

salut,

ben pour moi, les caractères spéciaux, pas grand chose, a part le fait que le navigateur affiche n'importe quoi à la place et encore...ça dépend du jeu de charset
Sinon si tu ne traites pas les données entrées par l'utilisateur avec htmlspecialchars() , le risque est de te retrouver avec des brides html dans l'affichage ( genre des marquee... ) ou encore (et surtout) en rapport avec l'affichage de balises javascript.

**krfa1** · 25/09/2005, 20h01

Oh fait, j'ai le get_magic_quotes_gpc( ) activé. Et j'aimerais le désactivé, mais je peux le faire comment? Merci ska root pour ton expliquation!

**loufoque** · 25/09/2005, 20h06

Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
function stripArray(&$array)
{
    foreach($array as $k => $v)
    {
         if(is_array($v))
         {
              stripArr($array[$k]);
         }
         else
         {
             $array[$k] = stripslashes($v);
         }
    }
}
 
if(get_magic_quotes_gpc())
{
    stripArray($_GET);
    stripArray($_POST);
    stripArray($_COOKIE);
    stripArray($_REQUEST);
}