interdire du code dans un champ Résolu/Fermé

Question

Bonjour, J'ai créé un input pour que les membres de mon forum puissent se présenter. Mais je souhaite que le texte s'affiche tel qu'il est. Autorisé uniquement des balises personnel (des balises fait maison ("color" au lieu de "font color", pas de "br" pour sauter à la ligne mais un "enter (touche)", pas de "hr"; "h1"; input; et d'autre balises. Exemple : Si un membre met du javascript, que le javascript soit affiché comme texte mais que le html (certaine balises) puissent être utilisés. Si un membre met bonjour, voici mon site frauduleux site Je souhaite que le bonjour soit affiché de la couleur souhaité par le membre (plus facile que font pour les membres qui ne connaissent pas l'html) et que ce qui est entre et soit supprimé et ne soit pas affiché. Que dois-je mettre dans mon input : P.S : Comment faire pour que la touche "Enter" ne valide pas le formulaire ? Merci d'avance pour l'aide que vous saurez m'apporter

roptat · Answer

Impossible de bloquer cela au niveau du client car c'est lui qui envoie les données qu'il veut. Même avec un blocage au niveau du html, il est très facile d'envoyer des données qui ne seraient pas validées par le html (je pense par exemple à l'envoie de requête via curl). Il faut que ce soit le serveur qui gère cela. La fonction PHP (j'imagine que tu traites la requête en php) htmlentities ou htmlspecialchars permet de transformer les caractères spéciaux et leur entitée html. Autrement dit, si l'utilisateur entre « lien », le message enregistré sera « lien ». Ce qui a pour effet d'afficher « lien » et non « lien »

rolly41 · Answer

Bonjour,

grâce à vous, j'ai trouvé ceci : https://phpsources.net/tutoriel-htmlentities.htm

C'est exactement ce que je recherche :)

Merci à vous.

Interdire du code dans un champ

2 réponses

Discussions similaires