Discussion :

[stefanelle]

Bonjour,

j'ai besoin d'un peu d'éclaircissement sur la sécurité PHP

voilà je souhaite sécurisé un formulaire en php mais c est un peu flou

par exemple j'ai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$var=mysql_real_escape_string(htmlspecialchars($_POST['var']));

dans quel cas utilisé mysql_real_escape_string ou htmlspecialchars ou htmlentities

Merci de votre aide

[grunk]

Salut,
mysql_real_escape_string sur toutes données textuelles en entrée
intval (ou équivalent) sur toute données numérique en entrée
htmlentities sur toutes données en sortie

[Seb33300]

Bonjour,

mysql_real_escape_string sert à protéger une requête pour MySQL pour éviter les injections SQL

htmlspecialchars et htmlentities permettent de remplacer les caractères spéciaux par leur code html.
Par exemple si quelqu'un saisie <a href="son site">click ici !</a> dans ton formulaire et que tu affiches ce qui a été saisie sur ton site, le lien apparaitra. Alors que si tu utilise ces fonctions, ça sera écrit comme ce que tu viens de lire. les caracteres < et > seront remplacer pour ne pas être interprété comme du code html.

En général, en base de donnée, on stocke ce qui a été saisie et on utilise htmlspecialchars et htmlentities uniquement pour l'affichage.