Discussion :

[pop_up]

Bonjour,

Pour securiser mes requetes ou je passe des parametres en post ou en get, je rajoute la fonction mysql_real_escape_string

Sauf que pour certain champs, j'ai des doutes.
J'ai des champs qui contiennent du contenu html par exemple. J'insere ces champs en faisant pour chacun :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
addslashes(htmlentities($champ));

Alors je suis en train de me dire que si je fait un mysql_real_escape_string avant ou aprés, ça va me quadrupler mes slash par exemple non ?

est ce que je peux l'utiliser ici ou pas car je me demande si il y a pas une faille si un hacker essai de mettre un quote.

Pouvez vous me conseiller ?

merci

[Raideman]

Lorsque tu fais une insertion en base de données, tu as besoin de sécuriser les caractères sensibles pour mysql, et donc, on utilise généralement mysql_real_escape_string.

Il n'y a pas besoin d'htmlentities ou d'addslashes. HTMLENTITIES va convertir la chaine en entité HTML, et tu vas te retrouver avec du html en bdd donc, ce qui n'est pas la bonne méthode.
HTMLENTITIES s'utilise plutot pour afficher du contenu textuel dans une page web, pour assurer un affichage correct de tes caracteres dans une page web.

Pour résumé :

->Pour insérer en bdd : mysql_real_escape_string();
->Pour afficher une donnée à l'écran : htmlentities($var,ENT_QUOTES)

[pop_up]

Il n'y a pas besoin d'htmlentities ou d'addslashes.

Si justement car le client ne veut pas stocker <p>un fichier toto/titi.gif</p> mais plutot la chaine encodée

aprés l'utilité du addslashes, peut etre que je peut le remplacer par mysql_real_escape_string(); non ?

[Yogui]

Salut

C'est en général pour répondre à cette problématique que le texte n'est pas formaté en HTML dans la base, mais à l'aide de BBCode ou d'une syntaxe Wiki. Cela t'oblige à effectuer un traitement avant d'enregistrer en base, + un autre avant d'afficher dans le navigateur, mais c'est la meilleure option à long terme

[pop_up]

Merci pour ta réponse yogui mais j'ai peur de pas comprendre ?

Ce que je fais convient ou non ?

Faut t'il que je garde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
addslashes(htmlentities($champ));

et surtout est ce que niveau sécurité c'est ok ou faut-il que je remplace par autre chose ?

merci

[Yogui]

Ce n'est pas du tout adapté

En gros, pour envoyer dans la BDD tu devrais employer la fonction spécifique à cette BDD (par exemple mysql_real_escape_string pour MySQL), ou pour envoyer dans une page Web tu utilises htmlspecialchars ou htmlentities.

Chaque utilisation de la variable a sa propre fonction pour la mettreen forme, il ne faut pas les confondre.

Si tu utilises htmlentities/htmlspecialchars pour enregistrer en base, cela complique les choses lorsque tu voudras envoyer les mêmes infos dans un document non-HTML (par exemple Word, PDF, image...). La BDD n'est pas prévue pour enregistrer des données déjà mises en forme, c'est pour cela qu'il existe les syntaxes alternatives comme Markdown et Wiki.

Au passage, addslashes n'est presque jamais adapté à la situation.