Mettre la variable au propre ou pas avec htmlspecialchars

Résolu/Fermé

Python

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 - 15 juil. 2021 à 19:56
flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 - 16 juil. 2021 à 07:47

bonjour a tous
je suis occupé a comprendre et a refaire un code qu un ami m avait fourni du temps ou je ne connaissais rien encore au php

j ai deux questions deux questions

la première dans quel cas on doit utiliser htmlspecialchars

la deuxième comment je mets au propre cette variable ?

$contenu_ajoute = htmlspecialchars($_POST['modification']);

A voir également:

Ce programme est écrit en python. il construit un mot secret dans une variable mais il ne l'affiche pas. modifiez-le pour qu'il affiche le mot secret. exécutez-le. quel est ce mot secret ?
Programme qui n'affiche pas le mot secret ✓ - Forum Python
Dans le texte, un seul mot a réellement été écrit en lettres capitales (majuscules). quel est ce mot ? - Forum Word
Le mot secret ne s'affiche pas, comment pourrais-je faire? ✓ - Forum Python
Afficher un message sur python "" ✓ - Forum Python
Correction python ✓ - Forum Python

6 réponses

Réponse 1 / 6

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
15 juil. 2021 à 21:38

Bonjour
Comme je te l'ai déjà expliqué
htmlspecialchars s'utilise uniquement lorsque tu vas afficher la variable dans ta page.
Si c'est pour l'enregistrer dans la base de données ce n'est pas nécessaire voire même déconseillé. C'est d'autant plus inutile que tu utilises désormais les requêtes préparées.

Réponse 2 / 6

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 179
15 juil. 2021 à 22:33

bonsoir Jordane

merci pour la reponse
mas lorsque j affiche une variable dans une page je l ai rendue propre
donc ou est l utilité de se servir de htmlspecialchars pour l afficher

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
15 juil. 2021 à 22:52

Imagine que ta variable contienne du code HTML et que tu veuilles qu'elle s'affiche tel quelle sans être interprétée en tant que code HTML..

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649 > jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024
15 juil. 2021 à 22:53

Enfin bon, le plus simple, serait que tu ailles lire la documentation officielle de cette fonction et les exemples qui s'y trouvent

Utilisateur anonyme
15 juil. 2021 à 22:56

Bonjour,
Je te renvois à la page officielle.
https://www.php.net/manual/fr/function.htmlspecialchars.php

<p>Et un exemple tout simple</p>
Si CCM ne faisait pas une conversion, ça me permettrait d'envoyer directement du HTML, du Javascript... qui serait exécuté par tous ceux qui verraient mon message.
On sécurise l'affichage, pour permettre aux utilisateurs d'envoyer n'importe quoi sans permettre n'importe quoi.

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 179 > Utilisateur anonyme
15 juil. 2021 à 23:19

bonjour Pyraah
merci pour ton aide
et le lien que je suis alle voir
mais cela ne me semble pas plus clair

je viens de poster l utilité de htmlspecialchars

mais cela reste tres floud
d après jordane je dois l utiliser juste pour afficher les variables
et d après l explication que j ai trouvé c est lors de la saisie

Réponse 3 / 6

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 179
15 juil. 2021 à 23:17

Jordane
merci pour ta réponse
mais même en lissant la documentation de php
j ai du mal a comprendre , car c est pas clair je trouve

j ai trouve cette explication

A quoi sert htmlspecialchars ?

La fonction htmlspecialchars permet de se protéger contre la faille XSS en échappant les caractères en entité HTML. Par exemple, le caractère "<" est remplacé par "<". Au final, l'affichage sera le même mais la signification pour le navigateur sera différente.

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

Comment utiliser htmlspecialchars ?

donc a chaque saisie de l utilisateur je dois utiliser htmlspecialchars ?

Mais alors y a un truc qui m échappe ...
comment faire pour l utiliser lors d une saisie de utilisateur sans pour autant l écrire dans la base de donnée de cette manière

ensuite tu me dis que c est juste pour l utilisateur la afficher
donc je dois l ajouter dans la mise au propre des variables

bref je m y perds ...

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
Modifié le 15 juil. 2021 à 23:24

Par exemple, le caractère "<" est remplacé par "<".

En fait c'est le < ecrit en entité html

&#60;

https://outils-javascript.aliasdmc.fr/encodage-caracteres-scientifiques/encode-caractere-003C-html-css-js-autre.html

Réponse 4 / 6

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 179
Modifié le 15 juil. 2021 à 23:36

merci jordane pour la réponse
tout cela je l ai très bien compris
que cela modifier les caractères

lorsque je récupère une variable
je la récupère de manière
de cette façon

$contenu = !empty($_POST["contenu"]) ? $_POST["contenu"] : "";

et donc ensuite pour l afficher je dois faire ceci

 $texte = htmlspecialchars($contenu);
    echo $texte.'<br />';

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
15 juil. 2021 à 23:39

Oui.

Réponse 5 / 6

flexi2202 Messages postés 3784 Date d'inscription lundi 14 mars 2011 Statut Membre Dernière intervention 30 mars 2024 179
15 juil. 2021 à 23:46

ah d accord merci jordane
bon ben je suis reparti pour modifier toutes mes pages alors ...

y a t il un code php plus court qui fait le même travail ?

mais j ai encore une question
concernant cet article

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

donc lorsque l utilisateur saisi une donnée je dois faire quoi ?

par exemple lorsqu'il remplit un formulaire ???

jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
16 juil. 2021 à 00:14

donc lorsque l utilisateur saisi une donnée je dois faire quoi ?

Ce qu'on t'a déjà expliqué deux cent fois...
Utiliser les requêtes préparées...
Et éventuellement ajouter du htmlspecialchars lors de l'affichage des données

Discussions similaires

Certification Pix - Python et SQL

afficher un message sur python ""

programme qui n'affiche pas le mot secret

le mot secret ne s'affiche pas, comment pourrais-je faire?

Variable

Je fait un programme avec une variable mais il ne marche pas !

Discussions similaires

Newsletters