Comment sécuriser son forumlaire en conservant la balise html

**pierrot10** · 08/06/2010, 15h40

Bonjour à tous,

Je dois me soucier sur les données envoyées par mon formulaire.
Pour cela, je pourrais utiliser le fonction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strip_tags()

Mais le probleme c'est que mon champs "commentaire" utilise un WYSIWYG. par conséquent, le contenu de ce texte a des balise html, tel que <p> <b> <table>.

Il fat donc que ces données soit enregistrer dans ma DB en conservant ses balise, pourqu'ensuite elle puisse etre afficher sur une page.

Donc dans ce cas, ma fonction strip_tags va tout me virer.
Si elle vire des balise et du code PHP,ou <html><head><body> c'est bon mais pas le reste comme <p><b> etc...

Comment puis-je sécuriser alors mon formulaire en conservant juste c que j'ai besoin???

Aussi, j'ai vu que cette fonction htmlentitie(). mais je viens de faire un teste avec ceci

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo htmlentities("<table><tr><td>cell</td></tr></table>");

et il m'affiche ceci

Donc évidement ca va pas.

Il y a pas une fonction qui supprime uniquement les balises PHP et <html>,<head> et <body>??

Que me conseilelrez-vous?

**grunk** · 08/06/2010, 16h18

Salut,

Si tu tiens à utiliser strip tags tu peux utiliser le second paramètres de la fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo strip_tags($text, '<p><a>');

Supprime tout sauf les balises p et a

**pierrot10** · 08/06/2010, 16h37

Ben c'est super bien ca?
Afin d'avoir un formulaire bien sécurisé, y a t il plus que je peux faire?
car strip_tags($val,'<b><p> etc'); va tout enèlever sauf ce que je mentionne. Il y a pas mieux concernant la saisie des information envoyé, non?

Evidemment mon formulaire en en $_POST, et j'ai un captcha (mathématique)

**neolitec** · 08/06/2010, 17h37

Une base MySQL ??

-> mysql_real_escape_string !

**pierrot10** · 08/06/2010, 21h10

Mias corrigez moi si je me trompe,
mais a quoi me sert cette fonction si préalablement j'utilise
strip_tags().

Si strip_tags() enlève tous les tag qu va faire alors
mysql_real_escape_string
si tout est fait avant?

En fait, je crois que je ne comprends pas exactement ce que fait cette fonction MySQL...

**Eric2a** · 08/06/2010, 21h33

La fonction mysql_real_escape_string est aussi importante que les fonctions htmlentities et strip-tags.

htmlentities ou strip_tags > Empêcher l'interpretation des balises HTML.
mysql_real_escape_string > Proteger les commandes SQL.