Mettre la variable au propre ou pas avec htmlspecialchars

Résolu

Python

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention -
flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention - 16 juil. 2021 à 07:47

bonjour a tous
je suis occupé a comprendre et a refaire un code qu un ami m avait fourni du temps ou je ne connaissais rien encore au php

j ai deux questions deux questions

la première dans quel cas on doit utiliser htmlspecialchars

la deuxième comment je mets au propre cette variable ?

$contenu_ajoute = htmlspecialchars($_POST['modification']);

A voir également:

Ce programme est écrit en python. il construit un mot secret dans une variable mais il ne l'affiche pas. modifiez-le pour qu'il affiche le mot secret. exécutez-le. quel est ce mot secret ?
Ce programme est écrit en python. il construit un mot secret dans une variable mais il ne l'affiche pas. modifiez-le pour qu'il affiche le mot secret. exécutez-le. quel est ce mot secret ✓ - Forum Python
Python ✓ - Forum Python
Correction python ✓ - Forum Python
Ce programme est écrit en python. il construit un mot secret dans une variable mais il ne l'affiche pas. modifiez-le pour qu'il affiche le mot secret. exécutez-le. quel est ce mot secret? ✓ - Forum Python
Le mot secret ne s'affiche pas, comment pourrais-je faire? ✓ - Forum Python

6 réponses

Réponse 1 / 6

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751

Bonjour
Comme je te l'ai déjà expliqué
htmlspecialchars s'utilise uniquement lorsque tu vas afficher la variable dans ta page.
Si c'est pour l'enregistrer dans la base de données ce n'est pas nécessaire voire même déconseillé. C'est d'autant plus inutile que tu utilises désormais les requêtes préparées.

Réponse 2 / 6

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention 190

bonsoir Jordane

merci pour la reponse
mas lorsque j affiche une variable dans une page je l ai rendue propre
donc ou est l utilité de se servir de htmlspecialchars pour l afficher

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751

Imagine que ta variable contienne du code HTML et que tu veuilles qu'elle s'affiche tel quelle sans être interprétée en tant que code HTML..

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751 > jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention

Enfin bon, le plus simple, serait que tu ailles lire la documentation officielle de cette fonction et les exemples qui s'y trouvent

Utilisateur anonyme

Bonjour,
Je te renvois à la page officielle.
https://www.php.net/manual/fr/function.htmlspecialchars.php

<p>Et un exemple tout simple</p>
Si CCM ne faisait pas une conversion, ça me permettrait d'envoyer directement du HTML, du Javascript... qui serait exécuté par tous ceux qui verraient mon message.
On sécurise l'affichage, pour permettre aux utilisateurs d'envoyer n'importe quoi sans permettre n'importe quoi.

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention 190 > Utilisateur anonyme

bonjour Pyraah
merci pour ton aide
et le lien que je suis alle voir
mais cela ne me semble pas plus clair

je viens de poster l utilité de htmlspecialchars

mais cela reste tres floud
d après jordane je dois l utiliser juste pour afficher les variables
et d après l explication que j ai trouvé c est lors de la saisie

Réponse 3 / 6

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention 190

Jordane
merci pour ta réponse
mais même en lissant la documentation de php
j ai du mal a comprendre , car c est pas clair je trouve

j ai trouve cette explication

A quoi sert htmlspecialchars ?

La fonction htmlspecialchars permet de se protéger contre la faille XSS en échappant les caractères en entité HTML. Par exemple, le caractère "<" est remplacé par "<". Au final, l'affichage sera le même mais la signification pour le navigateur sera différente.

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

Comment utiliser htmlspecialchars ?

donc a chaque saisie de l utilisateur je dois utiliser htmlspecialchars ?

Mais alors y a un truc qui m échappe ...
comment faire pour l utiliser lors d une saisie de utilisateur sans pour autant l écrire dans la base de donnée de cette manière

ensuite tu me dis que c est juste pour l utilisateur la afficher
donc je dois l ajouter dans la mise au propre des variables

bref je m y perds ...

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751

Par exemple, le caractère "<" est remplacé par "<".

En fait c'est le < ecrit en entité html

&#60;

https://outils-javascript.aliasdmc.fr/encodage-caracteres-scientifiques/encode-caractere-003C-html-css-js-autre.html

Réponse 4 / 6

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention 190

merci jordane pour la réponse
tout cela je l ai très bien compris
que cela modifier les caractères

lorsque je récupère une variable
je la récupère de manière
de cette façon

$contenu = !empty($_POST["contenu"]) ? $_POST["contenu"] : "";

et donc ensuite pour l afficher je dois faire ceci

 $texte = htmlspecialchars($contenu);
    echo $texte.'<br />';

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751

Oui.

Réponse 5 / 6

flexi2202 Messages postés 3822 Date d'inscription Statut Membre Dernière intervention 190

ah d accord merci jordane
bon ben je suis reparti pour modifier toutes mes pages alors ...

y a t il un code php plus court qui fait le même travail ?

mais j ai encore une question
concernant cet article

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

donc lorsque l utilisateur saisi une donnée je dois faire quoi ?

par exemple lorsqu'il remplit un formulaire ???

jordane45 Messages postés 38484 Date d'inscription Statut Modérateur Dernière intervention 4 751

donc lorsque l utilisateur saisi une donnée je dois faire quoi ?

Ce qu'on t'a déjà expliqué deux cent fois...
Utiliser les requêtes préparées...
Et éventuellement ajouter du htmlspecialchars lors de l'affichage des données

Discussions similaires

Certification Pix - Python et SQL

afficher un message sur python ""

le mot secret ne s'affiche pas, comment pourrais-je faire?

Variable

Je fait un programme avec une variable mais il ne marche pas !

Python programme

Votre réponse

Discussions similaires