mettre la variable au propre ou pas avec htmlspecialchars Résolu/Fermé

Question

bonjour a tous 
je suis occupé a comprendre et a refaire un code qu un ami m avait fourni du temps ou je ne connaissais rien encore au php

j ai deux questions deux questions

la première dans quel cas on doit utiliser htmlspecialchars


la deuxième comment je mets au propre cette variable ?

$contenu_ajoute = htmlspecialchars($_POST['modification']);

jordane45 · Answer

Bonjour
Comme je te l'ai déjà expliqué
htmlspecialchars s'utilise uniquement lorsque tu vas afficher la variable dans ta page.
Si c'est pour l'enregistrer dans la base de données ce n'est pas nécessaire voire même déconseillé. C'est d'autant plus inutile que tu utilises désormais les requêtes préparées.

flexi2202 · Answer

bonsoir Jordane 

merci pour la reponse
mas lorsque j affiche une variable dans une page je l ai rendue propre
donc ou est l utilité de se servir de htmlspecialchars pour l afficher

flexi2202 · Answer

Jordane 
merci pour ta réponse 
mais même en lissant la documentation de php 
j ai du mal a comprendre , car c est pas clair  je trouve 

j ai trouve cette explication 

A quoi sert htmlspecialchars ?

La fonction htmlspecialchars permet de se protéger contre la faille XSS en échappant les caractères en entité HTML. Par exemple, le caractère "<" est remplacé par "&lt". Au final, l'affichage sera le même mais la signification pour le navigateur sera différente.

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

Comment utiliser htmlspecialchars ?

donc a chaque saisie de l utilisateur je dois utiliser htmlspecialchars ?

Mais alors y a un truc qui m échappe ...
comment faire pour l utiliser lors d une saisie de  utilisateur sans pour autant l écrire dans la base de donnée de cette manière 

ensuite tu me dis que c est juste pour l utilisateur la afficher 
donc je dois l ajouter dans la mise au propre des variables

bref je m y perds ...

flexi2202 · Answer

merci jordane pour la réponse tout cela je l ai très bien compris que cela modifier les caractères lorsque je récupère une variable je la récupère de manière de cette façon $contenu = !empty($_POST["contenu"]) ? $_POST["contenu"] : ""; et donc ensuite pour l afficher je dois faire ceci $texte = htmlspecialchars($contenu); echo $texte.'
';

flexi2202 · Answer

ah d accord merci jordane
bon ben je suis reparti pour modifier toutes mes pages alors ...

y a t il un code php plus court qui fait le même travail ?


mais j ai encore une question 
concernant cet article 

Pourquoi et Quand l'utiliser ?

Il ne faut jamais faire confiance à l'utilisateur. Même un champ "disabled" peut être modifié. Sans protection, l'utilisateur mal intentionné peut alors tenter d'exécuter un script lors de l'affichage de sa saisie.

En clair, il faut toujours échapper des données provenant ou pouvant provenir d'une saisie utilisateur lorsqu'on souhaite les afficher.

donc lorsque l utilisateur saisi une donnée je dois faire quoi ?

par exemple lorsqu'il remplit un formulaire ???

flexi2202 · Answer

merci pour la réponse et cela je le fais a chaque fois a présent avec les requêtes préparées

je sais que l on me l as déjà dit 100 fois

mais  ce htmlspecialchars me tracassait et je voulais en avoir le coeur net

Mettre la variable au propre ou pas avec htmlspecialchars

6 réponses

Discussions similaires