Discussion :

[dzaohfz]

Bonjour,

j'ai un formulaire avec pseudo, mdp et url et j'aimerai savoir quels caractères pourraient posé de problèmes, j'ai déja pensé à <>& et \
J'ai donc fait un preg_match('`([&<>\\\\]+)`', $chaine) afin d'indiqué une erreur lors de l'envoi de ces caractères.
Du coup j'ai également une erreur d'indiqué avec ' et ", je ne comprends pas pourquoi, je ne les ai pas mis dans mon expression.
Par contre ça m'a fait réfléchir et du coup il est vrai qu'ils peuvent également poser problème mais pourquoi ont-ils été pris en compte ?
Et sinon quels autres caractères spéciaux pourraient poser problème ?
Merci d'avance.

[guigo]

Peux tu préciser quelle problèmes les caractères spéciaux vont générer pour toi ?

[dzaohfz]

S'ils mettent <script.... ou <img> ou autre ça risque de faire des problemes d'affichage....

[dzaohfz]

Pour " et ' j'ai testé la variable et elle est \" et \'
Les variables sont envoyé par des POST
Donc en faite mon regex ne trouvait pas " ni ' c'est juste que le serveur rajoute \ devant....
C'est un peu embétant ça

[dzaohfz]

J'ai trouvé que c'est causé par magic_quotes d'activé.
Je vais surement le désactivé car de toute façon dans toutes mes requetes sql j'ai deja addslashes.

Bon sinon que pensez vous des caractères spéciaux a interdire ? < > \ ' " &
c'est bien ?

[John Blobsmith]

Ben tu peux utiliser strip_tags et mysql_real_escape_string...

[dzaohfz]

Quel interet le strip_tags ?

[John Blobsmith]

ca enlève toutes les balises html, ca limite la saisi.

[dzaohfz]

Ok mais tu veux que je m'en serve comment ? :p
Pour limité la saisie il faut mieu un regex qui indique que la saisie est pas bonne...
car avec le strip_tags on va supprimé une partie du login par exemple de la personne et pas lui dire....

[John Blobsmith]

ok je vois ce que tu veux dire.
Alors si les caractères spécifiques te posent problème prend le problème dans l'autre sens, autorise juste certains...
comme [a-zA-Z0-9@$_-]
Ca fonctionne bien sur un site non-international.

[dzaohfz]

Mais je souhaites juste interdire ceux qui peuvent poser problème.
J'ai pensé à \ ' " & < et > et donc le but de mon post était de savoir si c'était jusdicieux ou s'il fallait en interdire d'autre
et par exemple je peux laissé & pour le nom d'un site et le supprimé pour le login car c'est sutout la que je vois qu'il risque un probleme avec le parrainage par exemple.

[ascito]

salut, en fait, les caractères que tu nous proposent ne posent pas de problème... Cela dépend juste de quelques paramètres :

imaginons que tu veuille stocker tes données reçues d'un post dans une base de donnée, et que l'encodage de ton fichier soit utf-8

utilise par exemple pour insérer tes données

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes ( preg_quote ( htmlentities ( $string,ENT_COMPAT,"UTF-8")))

et pour les afficher sur ton site après

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

stripslashes( stripslashes( html_entity_decode ($string, ENT_QUOTES ,'UTF-8')));

il y a cependant des caractères qui ne sont pas directement des caractères compatible si tu utilise de l'AJAX, donc un POST via xhr.send. A ce moment certains caractères doivent être remplacés coté javascript par leurs codes HTML : par exemple

« en &/#/171; ( supprime les / , c pour que voie le code des caractères )

dans ton script php qui récupère le post en AJAX il te suffit alors de décoder une première fois les caractères codé HTML en entité normale

html_entity_decode ($string,ENT_COMPAT,"UTF-8");

puis de les protéger pour la bdd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes ( preg_quote ( htmlentities ( $string,ENT_COMPAT,"UTF-8")))

[dzaohfz]

Pour le login ça peut posé problème le & car pour le parrainage si la personne prend comme login "afafe&var=5" s'il diffuse son lien de parrainage http://site.com/index.php?parrain=afafa&var=5 ça va pas lfaire
S'il prend comme login <img> quand je vais affiché bonjour $login ça risque de faire une image :p

[ascito]

Bien en effet , à ce moment tu ne garde que les caractères alpha numérique sans accent par exemple là j'ai ajouté _ et - , ( en fait tu fait l'inverse , tu donne les caractères autorisé dans $search )

sIn='lelogin';
$search = array ('@[^a-zA-Z0-9_\-]@i');
$replace = array ('');
$sIn= preg_replace($search, $replace, $sIn );

et sinon tu peu te diriger vers rawurlencode qui encodera les mauvais caractère pour l'url