SQL ou php ajoute des htmlentities ?

WRInaute discret
Bonjour,

Je m'arrache un peu les cheveux sur ce problème.
J'ai un formulaire qui POST vers une page valider.php

là je fais juste

$contenu = mysql_escape_string($_POST['contenu']);

puis j'insère $contenu dans une table mysql. Si je poste par exemple la phrase
ça

j'ai
ça

dans la table ! Mais je ne fais jamais un htmlentities !! Quelqu'un aurait une idée de la raison ?

Merci!
 
WRInaute occasionnel
je crois que les variables post sont automatiquement protégées, c'est avec les get qu'il faut les echapper..
 
WRInaute impliqué
theJB a dit:
je crois que les variables post sont automatiquement protégées, c'est avec les get qu'il faut les echapper..
Moi non plus pas convaincu du tout... Si après les "magic quotes" inutiles, on se retrouve avec des "magic entities", on est mal barré !!!
 
WRInaute discret
Pour "protégé", dirons nous plutôt pour échapper certains caractères, on utilise addslashes, et non htmlentities ;)
Si magic_quotes_gpc est activée sur le serveur, alors addslashes n'est pas nécessaire pour échappé les caractères.
Perso je suis plus d'avis de toujours mettre addslashes, et de desactiver magic_quotes via htaccess....
Ou mieux encore, de te créer ta propre fonction myaddslashes par exemple, a utiliser à la place de addslashes.
Ainsi, si le serveur a ou n'a pas magic_quotes activé, et si le serveur autorise ou non de modifier sa valeur par htaccess, ben il te suffit de modifier ta fonction myaddslashes et t'as pas toutes tes pages et scripts à retoucher.
 
Discussions similaires
Haut