Discussion :

[GoodWear]

Re pour certains et bonjour pour les autres

Voilà, en effectuant des modifiations sur mon code, mon outil ne marche plus.

J'ai l'impression qu'il ne ce connecte pas à la BDD et là je tourne en rond.
Alors à moins d'avoir les yeux explosés et de ne pas voir l'erreur ridicule qui m'empêche de me connecter, je ne vois pas le soucis, voici le code :
(problème sur deux pages)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
		<?php
 
			connect_BDD();
 
			$collabList = mysql_query ("SELECT prenom, nom FROM otl_formation_collaborateurs ORDER BY prenom");
 
			while ($donneeListC = mysql_fetch_array($collabList))
			echo '<option value="'.stripslashes(htmlentities_decode($donneeListC['prenom'])).' '.stripslashes(htmlentities_decode($donneeListC['nom'])).'">'.stripslashes(htmlentities_decode($donneeListC['prenom'])).' '.stripslashes(htmlentities_decode($donneeListC['nom'])).'</option>';
 
			mysql_close ();
 
		?>

connect_BDD(); est une fonction pour ce connecter et elle ce trouve sur une autre page. J'ai créé une autre fonctione bidon pour afficher un truc avec un echo ca fonctionne. Pour la connection j'ai vérifier et fais un copie/coller quand j'ai déplacer le code donc ca ne doit pas venir de là.

J'ai aussi changé mes htmlspecialchar_decode par htmlentities_decode.
J'ai l'impression que c'est depuis ce moment que ca ne fonctionne plus.

Et j'ai aussi entierrement recréé mes table de la BDD.

Je ne comprends pas, merci à vous...


EDIT :
je viens de voir que la syntaxe est : html_entities_decode
Si je les vire mes htmlentities_decode ca marche mais je me retrouve avec des symboles bizarres...
Si je met les html_entities_decode, idem ca ne fonctionne pas... ?

[guigo]

Juste par mesure de securite, as tu inclue ton fichier contenant ta fct de connexion a ta base ?

Si tu as un pb de connexion, ca ne sert a rien de creer et recreer.... Il faut juste debbuger

Montre nous ton fichier de connexion stp

[GoodWear]

Juste par mesure de securite, as tu inclue ton fichier contenant ta fct de connexion a ta base ?

Si tu as un pb de connexion, ca ne sert a rien de creer et recreer.... Il faut juste debbuger

Montre nous ton fichier de connexion stp

Oui oui j'ai bien le fichier, c'est ce que j'ai essayé d'expliquer...
Dans ce fichier j'ai créé une fonction bidon pour afficher un texte et ca fonctionner très bien.

Les Tables de la BDD que j'ai du refaire sont du fait que je suis passé par une interface pour entrée les données et je les traités avec htmlspecialchar.
Hors comme je passe sur du htmlentities je devais tout refaire.

Sinon, pour info voici le code pour la connection à la BDD :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
 
	function connect_BDD() {
		mysql_connect("localhost", "BDD", "code");
		mysql_select_db("table");
	}

A oui et si je vire les htmlspecialchar ca fonctionne donc je me connecte bien.

[GoodWear]

D'ailleurs voici où s'arrête mon XHTML quand la page est généré :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	<script language="JavaScript" type="text/JavaScript" src="javascript/formation.js"></script>
	<title>Compte-rendu de formation interne</title>
	<link href="css/general.css" rel="stylesheet" type="text/css" />
</head>
 
<body>
 
<form id="formation" method="post" action="formation.php">
 
<p class="centerTOP">
	<select name="collab" id="collab" title="Choisir un Collaborateur">

C'est dans ce select qu'il y'a une boucle while qui ce connecte à ls BDD :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
<?php
	include_once ("fonctions_inc.php");
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	<script language="JavaScript" type="text/JavaScript" src="javascript/formation.js"></script>
	<title>Compte-rendu de formation interne</title>
	<link href="css/general.css" rel="stylesheet" type="text/css" />
</head>
 
<body>
 
<form id="formation" method="post" action="formation.php">
 
<p class="centerTOP">
	<select name="collab" id="collab" title="Choisir un Collaborateur">
		<?php
 
			connect_BDD();
 
			$collabList = mysql_query ("SELECT prenom, nom FROM otl_formation_collaborateurs ORDER BY prenom");
 
			while ($donneeListC = mysql_fetch_array($collabList))
			echo '<option value="'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'">'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'</option>';
			mysql_close ();
 
		?>
	</select>
</p>

[Fench]

Salut GoodWear,

Je pense que la Bd ya pas de problème de connexion etc ...

Mais ma question est pourquoi tu utilises des 'html_entities_decode' ?
ca voudrait dire que tu enregistres dans ta Bd des codes html, POURQUOI ?

Qd tu dis sans ça, ça marche mais avec de caractères bizares (ce sont pas caractères genre tout noir avec un chiffre dedans ? Affiches moi un résultat ? stp

[GoodWear]

Salut GoodWear,

Je pense que la Bd ya pas de problème de connexion etc ...

Mais ma question est pourquoi tu utilises des 'html_entities_decode' ?
ca voudrait dire que tu enregistres dans ta Bd des codes html, POURQUOI ?

Qd tu dis sans ça, ça marche mais avec de caractères bizares (ce sont pas caractères genre tout noir avec un chiffre dedans ? Affiches moi un résultat ? stp

Salut Fench, content de te revoir sur les ondes

J'enregistre bien avec htmlentities parce que j'ai des champs textes et j'utilise donc addslashes, pour les protections des quotes dans la BDD, et htmlentities pour la protection des balises HTML (par sécurité) mais aussi pour les caracthères comme le '&'.

En effet si je ne fait rien, quand je l'affiche j'ai une erreur de validation avec le w3c et je pensais régler ce problème entre avec ce genre de manip.

Si je vire le htmlentities ca donne ce genre de choe : Ã
(donc j'attendais d'avoir dans mon code XHTML un & pour mon '&').

Pour finir, et c'est là où je ne comprends plus rien c'est que si je met des html_specialchar_decode, ca fonctionne (enfin du coup j'ai pas les bons carachtères).

EDIT : résultat avec htmlspecialchars_decode :
CA@line bon comme je n'ai pas les correspondances de char sous la main le 'A' et un 'A' majusucule tréma et l'arobase est en fait un copyright (là d'ailleurs il n'a rien à faire là je me demande si c'est pas à l'enregistrement qu'il y'a euh un soucis)

[Fench]

OK,

Pour résumer, tu enregistres après un htmlentities puis d'un addSlashes ...
tu récuppères avec les fonctions inverses. C'est bon ?

si je met des html_specialchar_decode, ca fonctionne

Il faudrait qd même que tu fasses attention à la description de ton SELECT
car

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo '<option value="'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'">'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'</option>';

Car il y a valeur et affichage de option ... Ce que je veux dire, c que fait la description sans les valeurs et sans le 'html_specialchar_decode', normalement l'affichage devrait être bon

[GoodWear]

OK,

Pour résumer, tu enregistres après un htmlentities puis d'un addSlashes ...
tu récuppères avec les fonctions inverses. C'est bon ?



Il faudrait qd même que tu fasses attention à la description de ton SELECT
car

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo '<option value="'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'">'.stripslashes(html_entities_decode($donneeListC['prenom'])).' '.stripslashes(html_entities_decode($donneeListC['nom'])).'</option>';

Car il y a valeur et affichage de option ... Ce que je veux dire, c que fait la description sans les valeurs et sans le 'html_specialchar_decode', normalement l'affichage devrait être bon

Fench, je ne suis pas sur de te suivre...

Tu voudrais que j'écrive ca ? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo '<option value="'.stripslashes(htmlspecialchars_decode($donneeListC['prenom'])).' '.stripslashes(htmlspecialchars_decode($donneeListC['nom'])).'">'.$donneeListC['prenom'].' '.$donneeListC['nom'].'</option>';

Parce que oui, ca fonctionne mais j'ai toujours le problème.

Sinon, voici comment j'enregistre mes données (on ne sait jamais) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
	$agence = $_POST['agenceC'];
	$prenom = addslashes(ucwords(htmlentities($_POST['prenomC'])));
	$prenom = mysql_escape_string ($prenom);
	$nom = addslashes(strtoupper(htmlentities($_POST['nomC'])));
	$nom = mysql_escape_string ($nom);
	$mail = addslashes(htmlentities($_POST['mailC']));
	$telephone = addslashes(htmlentities($_POST['telephoneC']));

J'avais oublié le mysql_escape_string (faudrait que je le vire non ?).

Sinon je ne vérifis pas pour le moment le mail mais ca va venir

EDIT: Je viens d'enregistrer une nouvelle donnée dans la BDD.
Avec un 'é' et idem, pourtant j'ai viré le mysql_escape_string...

[Fench]

Je ne comprends tjs pas pourquoi:

$agence = $_POST['agenceC'];
$prenom = addslashes(ucwords(htmlentities($_POST['prenomC'])));
$prenom = mysql_escape_string ($prenom);
$nom = addslashes(strtoupper(htmlentities($_POST['nomC'])));
$nom = mysql_escape_string ($nom);
$mail = addslashes(htmlentities($_POST['mailC']));
$telephone = addslashes(htmlentities($_POST['telephoneC']));

Tu transformes autant les champs 'nom', 'prenom', 'téléphone'
J'ai l'impression que tu te compliques la vie

Même pour le mail, l'utilisateur rentre n'importe quoi, tu le vérifies avant et tu enregistres un mail bien formaté ou juste le '.' et le '@' seront à gérer ????

SINON,
Je voulais dire sur les options que value='SontDesTextesPassésEnURL' c pour celà qu'il apprécie pas trop les caractères spéciaux DONC va falloir trouver une autre solution ....
J'y réfléchi (peut être dans la journée) entre 2 pauses

[GoodWear]

Tu transformes autant les champs 'nom', 'prenom', 'téléphone'
J'ai l'impression que tu te compliques la vie

Beh je pensais faire un truc un minimum sécurisé
Bon pour le tel je suis censé passé par du JS pour limité uniquement au chiffre donc tout ca deviendra inutile.
Pour le mail je ne me suis pas panché sur la question, donc ca changera sans doutes...
Pour noms et prénoms, normalement (ou alors j'ai très mal compris) addslashes pour les ' qui sont rares mais qui existent.
htmlentities pour évité du code malveillant et pour les & et autres... non ???
Puis changement en majuscule mais ca c'est pour resté homogène avec les pratique de la boite

Je voulais dire sur les options que value='SontDesTextesPassésEnURL' c pour celà qu'il apprécie pas trop les caractères spéciaux DONC va falloir trouver une autre solution ....

Ok, je comprends... Effectivement le problème serais bien ca...



EDIT :
Attends y'a un truc là.
J'avais ca dans ma table : Céline
Je teste, ca ne fonctionne pas, alors je renomme en ca : C&line
Ca n'a rien à faire en plein milieu mais juste pour le test.
Ca fonctionne bien.

Donc je refais un enregistrement ET LA (en passant donc par ma page) je me retrouve avec de nouveau : Céline

Je ne comprends pas pourquoi j'ai un © mais en tout cas c'est bien ca qui fou la cacade...

[grunk]

Beh je pensais faire un truc un minimum sécurisé

A l'enregistrement :
mysql_real_escape_string() sur toute les valeurs textuelles
intval() (ou équivalent) pour toute valeur numérique
Eventuellement un addcslashes('machaine','%_') sur toute les valeurs textuelles

A l'affichage :
htmlentities() sur toute les valeurs venant de la bdd

Pas plus pas moins et tu es protégé des injections sql et xss.
Le mieux étant d'utiliser les requêtes préparés mais c'est un autre problème.

Bon pour le tel je suis censé passé par du JS pour limité uniquement au chiffre donc tout ca deviendra inutile.

Et si l'utilisateur désactive son js ou poste via un page qui est sur son pc , il n'ya plus de vérification
Donc vérif js pour le confort d'utilisation , mais verif coté serveur impérative.

[baggie]

en fait un copyright (là d'ailleurs il n'a rien à faire là je me demande si c'est pas à l'enregistrement qu'il y'a euh un soucis)

Je ne comprends pas pourquoi j'ai un © mais en tout cas c'est bien ca qui fou la cacade...

Essaie de voir au moment où tu enregistres si tu n'as pas un © qui traine à quelque part =)

[grunk]

Essaie de voir au moment où tu enregistres si tu n'as pas un © qui traine à quelque part =)

Ca peut être le cas si il y'a un souçis d'encodage utf8/iso ou iso/utf8 c'est selon

[GoodWear]

Essaie de voir au moment où tu enregistres si tu n'as pas un © qui traine à quelque part =)

Non, pas de @ qui traine je viens de lancer une recherche pour pas me planter

[GoodWear]

Ca peut être le cas si il y'a un souçis d'encodage utf8/iso ou iso/utf8 c'est selon

Oui alors ca c'est tout à fait possible, comment je peux faire pour voir si c'est bien ca ?
Le serveur est en charset=iso-8859-1, ma déclaration HTML idem.
Par contre mon 'format' de fichier est en UTF-8 j'ai pas trouvé comment le changer.
Ma base de donnée est aussi en UTF mais j'ai pas pensé que ca pouvé joué, je change ca...

[GoodWear]

mysql_real_escape_string() sur toute les valeurs textuelles
intval() (ou équivalent) pour toute valeur numérique
Eventuellement un addcslashes('machaine','%_') sur toute les valeurs textuelles

Ok, merci pour ces infos.

A l'affichage :
htmlentities() sur toute les valeurs venant de la bdd

C'est pas htmlentities_decode justement pour l'affichage ???

[Fench]

Pour info: (Puisque tu sais que le pb vient du passage dans l'url)
regardes avec la fonction urlencode et urldecode dans le manuel (au cas ou tu décides aussi de simplifier tes données).

Voici un extrait:

Retourne une chaîne dont les caractères non alphanumériques (hormis -_.) sont remplacés par des séquences commençant par un caractère pourcentage (%), suivi de deux chiffres hexadécimaux. Les espaces sont remplacés par des signes plus (+). Ce codage est celui qui est utilisé pour poster des informations dans les formulaires HTML.

[grunk]

Ok, merci pour ces infos.
C'est pas htmlentities_decode justement pour l'affichage ???

htmlentities_decode suppose qu'il y'est quelque chose à décoder. Avec la solution que j'ai evoqué tu rentre des données brutes dans ta base. Qu'il y'est des caractères dangereux dans ta base n'est pas un problème (puisque elle peut hypothétiquement être consultée par un soft pour qui l'html n'a aucune incidence), c'est à toi de ne pas les interpréter à l'affichage d'ou l'utilisation de htmlentites qui va transformer tout les caractères suceptibles de l'être en leur équivalent html.

Pour info: (Puisque tu sais que le pb vient du passage dans l'url)
regardes avec la fonction urlencode et urldecode dans le manuel (au cas ou tu décides aussi de simplifier tes données).

Tout est passé en POST d'après ce que j'ai pu voir du code, donc urldecode/encode ne joue aucun role ici.

[Fench]

Tout est passé en POST d'après ce que j'ai pu voir du code, donc urldecode/encode ne joue aucun role ici.

Non en fait OK, j'ai eu un vide

C juste dans le $_SERVER['REQUEST_METHOD'] qui change ...
Mais faire du GET avec du formulaire c possible même si les se retrouvent dans l'url et non dans la trame html.

désolé @GoodWear

[GoodWear]

Grunk j'ai fais les modifications dont tu parles dans mon code.
Mais j'ai un gros soucis, plus rien ne marche, j'ai une page blanche...

Là j'en peux plus, j'ai les yeux éclatés et le cerveau en vrac alors je met le code et je verrais ca demain, si vous avez une explication, je suis preneur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
 
<?php
	include 'fonctions_inc.php';
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
	<script language="JavaScript" type="text/JavaScript" src="javascript/formation.js"></script>
	<title>Compte-rendu de formation interne</title>
	<link href="css/general.css" rel="stylesheet" type="text/css" />
</head>
 
<body>
<?php
 
echo "blabla"."<br />";  // Même ça, ça ne s'affiche pas...
 
test(); //fonction de test dans le fichier include
 
?>
<form id="formation" method="post" action="formation.php">
 
<p class="centerTOP">
	<select name="collab" id="collab" title="Choisir un Collaborateur">
		<?php
 
			connect_BDD();
 
			$collabList = mysql_query ("SELECT prenom, nom FROM otl_formation_collaborateurs ORDER BY prenom");
 
			while ($donneeListC = mysql_fetch_array($collabList)) {
			echo '<option value="'.$donneeListC['prenom'].' '.$donneeListC['nom'].'">'.htmlentities($donneeListC['prenom']).' '.htmlentities($donneeListC['nom']).'</option>';
			}
 
			mysql_close();
 
		?>
	</select>
</p>
 
<p class="center">
	<input type="submit" name="validation" id="validation" value="&nbsp; &nbsp; ok &nbsp; &nbsp;" />
</p>
 
</form>
 
</body>
</html>

J'ai passé mes feuilles de code en ANSI (avec NotePad ++, équivalent apparemment du Latin 1 sur Komodo-Edit). Je les ais repassés en UTF-_, pas de changement.

Je ne sais pas ce qui ce passe. J'ai aussi vidé mes tables de la BDD pour refaire les enregistrement mais je n'ai plus accer à ma partie Admin qui ne fonctionne plus, non plus.

Le fichier du include qui contient la connection à la BDD.
Je l'ai copié/coller dans cette page, idem.

De plus je ne l'ai pas touché donc il est censé fonctionner... Puis mon echo devrait de toutes façons marcher.

Encore désolé de vous embêter et encore merci...