addslashes et htmlentities : javascript qui s'execute quand même
addslashes et htmlentities : javascript qui s'execute quand même - PHP - Programmation
Marsh Posté le 13-03-2009 à 17:23:22
1. escaper du SQL avec addslashes = fail
2. escaper (ou tenter) le HTML avant d'insérer dans la DB = fail
3. nl2br avant escaping html = fail
4. si ton code source après htmlentities contient '<img' et non '<img', c'est que tu fais de l'unescaping quelque part
Message édité par masklinn le 13-03-2009 à 17:24:10
---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Marsh Posté le 13-03-2009 à 17:30:01
Euh merci, mais tu me proposes quoi ? (à part des "fails" 
)
Marsh Posté le 13-03-2009 à 17:47:05
D'apprendre à coder, et de fournir plus de code parce que là vu ce que tu donnes à part avec une boule de cristal ça va être dur d'aider.
---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Marsh Posté le 13-03-2009 à 17:48:59
Très aimable ![[:implosion du tibia]](https://forum-images.hardware.fr/images/perso/implosion du tibia.gif "[:implosion du tibia]")
Si quelqu'un d'un peu moins aigri et hautain, pourrait m'expliquer où est le problème ?
Sinon bah tant pis ...
Message édité par Blair witch le 13-03-2009 à 17:58:18
Marsh Posté le 13-03-2009 à 18:07:23
Bon c'est bon c'est réglé ...
Merci quand même à Masklinn, enfin plus désolé de l'avoir déranger 
Marsh Posté le 13-03-2009 à 18:15:26
bah en même temps on peut pas t'aider si on connait pas les autres fonctions appliquées à ton texte avant la sortie...
Sujets relatifs:
- Doctype et javascript
- Question de noob html, css... (javascript??)
- CSS vs JavaScript & Reduire/Agrandir texte
- [resolu]probleme concatenation chaine en javascript
- Accès direct aux css en javascript ?
- [Résolu] Pb onClick (javascript) sous firefox 3.0.6
- [javascript/html] fonction pour enlever une chaine dans code hTML
- Défilement images d'une requete php avec javascript
- Petit probleme javascript
- [Javascript] calcul de prix avec multiplicateur variable !!!
Marsh Posté le 13-03-2009 à 17:11:29
Bonjour, j'ai un léger problème, enfin je sais pas si c'est vraiment un gros problème mais voilà :
J'ai un code php qui permet d'afficher un texte à partir d'une requête sql
Ce texte a été soumis avant à des fonctions de protection :
Jusque là, aucun problème, sauf que si dans mon champ je submit par exemple :
Et bien j'ai une alerte javascript qui s'affiche sur ma page, ou je récupère le texte
Je pourrais très bien effectuer un str_replace lors de la soumission en BDD, mais y a t-il une fonction qui permet de retirer les ">" "<" par exemple ? pour éviter toute tentative d'attaque XSS ?
Merci
Message édité par Blair witch le 13-03-2009 à 17:11:42