Discussion :

[senacle]

Je n'arrive pas à savoir ce qu'il faut utiliser...

J'ai un formulaire avec un Textarea.
J'autorise la saisie de balise html de mise en forme (<br>, <font>, <center>,....)
Il y a stockage en base de données.

Mais lors de l'affichage de la donnée, les balises sont affichées telles quelles, sans être interprétées.

Comment stocker la donnée en base ?
Comment l'afficher ensuite ?

[numew]

et tu utilise quoi des 3 fonctions que tu a cité ? sinon tu en utilise aucune, mais c'est pas sécurisé.

[senacle]

Je viens de voir que j'en utilisais une à un endroit mais pas à l'autre.

Sinon, quelle est la bonne solution pour sécuriser ?

htmlentities() avant insertion en base et pour l'affichage ?

[Chengj]

htmlspecialchars ou htmlentities, comme tu veux, cela dépend si tu veux convertir les caractères accentués. La fonction html_entity_decode est l'opposé de htmlentities mais si t'emploies ça, va falloir parser ta chaîne pour empêcher d'éventuelles failles de sécurité :p

[Yogui]

Salut

Non...

Pour enregistrer en base, il faut tout simplement utiliser la fonction de ton SGBD prévue à cet effet : mysql_real_escape_string, etc.
Voici quelques exemples : http://php.developpez.com/faq/index....rite-injection

Pour afficher dans une page Web, il faut utiliser htmlspecialchars pour les caractères spéciaux, ou htmlentities si tu as un charset ISO-quelque-chose.

Bref, chaque fonction a son utilité propre et unique

Voici un bout d'explication plus technique : http://g-rossolini.developpez.com/tu...concepts#LVI-G