Sécurité , injection sql : mysql_real_escape_string

WRInaute discret
Bonjour,

Pour éviter les injections sql , j'utilise la fonction mysql_real_escape_string ( http://www.php.net/mysql_real_escape_string ) pour tester mes champs avant de les insérer dans une table .

Le problème est que dans un certain champs , on doit pouvoir insérer un code html ou javascript et qu'avec la fonction mysql_real_escape_string , ça rajoute des caractères ( genre des rn ) et cela salit le code html que l'on a inséré.

Que faire pour éviter cela tout en restant ok niveau sécurité ?
Merci
 
WRInaute passionné
Tu n'autorise l'insertion que des balises que tu as choisi en prenant garde qu'il ne puissent rien en faire.

Ou alors passe par du BBcode personnalisé.
 
Discussions similaires
Haut