htmlentities(), htmlspecialchars() ..

M
mic54800
WRInaute discret
Bonjour,
Je cré un espace membre pour un site et comme d'jabitude, je suis confronté au même problème.
Les données du profil de chaque membre sont enregistrées en bdd.
Quand je veux afficher leur profil visible par tout le monde, je fais un htmlentities()
Seulement, il me converti les accents.
Je suis sur une page utf-8 et je n'ai pas tellement l'intension de changer.
Comment faire pour bien protéger mes pages en affichant correctement les accents ?
Serait-il mieu de faire un strip_tags() en enregistrant les données et ne pas faire de htmlentities à la sorti ?

Merci pour vos réponses !!
 
Y
YoyoS
WRInaute accro
Oulala, la galère, pourquoi tu paniques autant en voulant afficher les données provenant de ta base de données ?

C'était plutôt lors de l'insertion dans ta base de données qu'il fallait t'en préoccuper, et le htmlentities est strictement inutile en utf-8.
 
M
mic54800
WRInaute discret
Bah dans un sens où dans l'autre, moi ce que he veux c'est simplement éviter le hack du site à cause d'une boulette ...
Comment ça il est inutil en utf-8 ?
Et comment est-ce que je dois procéder pour que la bdd soit la mieu protégée et éviter les problèmes d'accents ?
 
Y
YoyoS
WRInaute accro
Personne ne s'est jamais fait hacké parcequ'il avait affiché un accent sans l'avoir passé dans un htmlentities que je sache. htmlentities ne sert que pour l'ISO, l'utf en a pas besoin puisqu'il peut utiliser tous les caractères existants...

Il suffit de vérifier lors de l'insertion tes données, c'est tout, après tu affiches sans même faire attention.

Tu vérifies tout ce que peut rentrer l'utilisateur (GET et POST) à coup de htmlspecialchars en spécifiant le 2ème paramètre, selon ce que tu veux aussi convertir (' et ") par exemple ENT_QUOTES.

Tu fais un mysql_real_escape_string lors de l'insertion en bdd.

Après quand tu vas rechercher tes infos, tu les affiches bêtement ;)
 
Bool
Bool
WRInaute passionné
Question de point de vue, mais pour ma part je ne fais jamais d'htmlentities ou htmlspecialchars lors de l'insertion en base de données : pourquoi encoder du texte en HTML dans une base de données ? Cela réduit très fortement les possibilités de recherche, de comparaison et de réutilisation.

Par contre il est préférable de vérifier les données lors de la saisie oui. On insère en base que ce que l'on compte utiliser quoi.

Et à l'affichage il n'y a plus qu'à faire l'htmlspecialchars / htmlentities, sur ce qui est nécessaire. Ca ne consomme vraiment pas grand chose, et je préfère pour ma part économiser d'autres ressources que ça.
 
Vous devez vous connecter ou vous inscrire pour répondre ici.
1.fr
Discussions similaires
T
Aide htmlentities|htmlspecialchars|addslashes|stripslashes
Réponses
6
Affichages
6K
Didier_S
Didier_S
F
[PHP] htmlentities => comment afficher un lien web ?
Réponses
2
Affichages
2K
fraid26
F
T
Texte codé façon 'Htmlentities' dans la balise Title
Réponses
2
Affichages
1K
Topsitemaker
T
Z
  • Sondage
addslashes, mysql_real_escape_string, htmlentities ?
Réponses
16
Affichages
3K
Blount
B
H
Securité : htmlentities méthode $_Get RESOLU
Réponses
5
Affichages
2K
Netek
N
R
Ré-encodage après htmlentities
Réponses
4
Affichages
1K
Rod la Kox
R
W
htmlentities et ereg
Réponses
6
Affichages
2K
webmasterdemonsite
W
T
Eternelle problème avec htmlentities !
Réponses
15
Affichages
2K
Bool
Bool
M
SQL ou php ajoute des htmlentities ?
Réponses
6
Affichages
2K
Hearty
H
A
Htmlentities() et les accents
Réponses
4
Affichages
4K
Antoine.B
A
T
Complètement largué ! addslashes/ htmlentities - S.O.S
Réponses
14
Affichages
8K
thierry8
T
M
help php et htmlentities
Réponses
6
Affichages
2K
Xele
X
A
htmlentities
Réponses
2
Affichages
2K
axis
A
E
innerHTML et htmlspecialchars
Réponses
6
Affichages
819
WebRankInfo
WebRankInfo
W
[Résolue] Autre solution que le htmlspecialchars ?
Réponses
12
Affichages
4K
david96
david96
Haut