CHaine coupé dans le value d'un input
CHaine coupé dans le value d'un input - PHP - Programmation
Marsh Posté le 29-01-2013 à 21:10:09
Lorsque tu as un espace dans ta chaine de caractères, ton attribut doit être quotté (value='...' au lieu de value=...). C'est une règle constante en HTML.
value='".$robotInfo->robot_name."'>";
---------------
Directeur Technique (CTO)
Marsh Posté le 30-01-2013 à 15:45:56
Complément pour t'éviter de revenir : si ta valeur contient un guillemet, faudra l'échapper en le préfixant du caractère \ 
---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
Marsh Posté le 30-01-2013 à 20:16:46
C'est un topic WTF en fait?
| rufo a écrit : Complément pour t'éviter de revenir : si ta valeur contient un guillemet, faudra l'échapper en le préfixant du caractère \ |
Non, "\" c'est pour une quote littérale dans une chaîne PHP, pas pour du HTML ![[:pingouino]](https://forum-images.hardware.fr/images/perso/pingouino.gif "[:pingouino]")
Mohi: bravo, ton script permet de prendre le contrôle de ton serveur via injection SQL et des pages via cross-site scripting:
- Tu balances un paramètre venant du client sans aucun nettoyage dans une requête SQL, Google m'indique que c'est du wordpress, prière d'aller lire et appliquer http://codex.wordpress.org/wpdb_Cl [...] on_Attacks (et le reste du document, ça peut pas faire de mal)
- Tu balances ensuite du bordel probablement pas nettoyé dans des attributs HTML, prière de lire, comprendre et utiliser http://codex.wordpress.org/Function_Reference/esc_attr ou (pour une version non spécifique à Wordpress) http://php.net/manual/en/function.htmlspecialchars.php
Et quand t'auras fait ça, qui est un début, prière d'aller lire http://codex.wordpress.org/Data_Validation en entier, en cliquant sur les liens pour aller lire et comprendre les fonctions et documents mentionnés.
Message édité par masklinn le 30-01-2013 à 20:19:01
---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Marsh Posté le 31-01-2013 à 15:47:39
| masklinn a écrit : C'est un topic WTF en fait? |
| masklinn a écrit :
|
Désolé, je me suis mélangé les pinceaux. Ca, c'était dans le cas d'un insert dans une BD Mysql
Effectivement, c'est htmlspecialchars() qu'il faut utiliser pour transformer certains caractères en entités html. 
---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
Marsh Posté le 31-01-2013 à 18:50:40
| rufo a écrit : Désolé, je me suis mélangé les pinceaux. Ca, c'était dans le cas d'un insert dans une BD Mysql |
Quand on insert dans une db, on ajoute pas des "\" à la main on utilise des prepared statements (de préférence, de très loin) ou la fonction d'escaping de la db ![[:petrus75]](https://forum-images.hardware.fr/images/perso/petrus75.gif "[:petrus75]")
Message édité par masklinn le 31-01-2013 à 18:51:10
---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Sujets relatifs:
- Récupéré un bout de chaine
- récupération d'une variable a l'écriture d'un input
- PowerShell Supprimer Fichier suite à une recherche de chaine de caract
- [DELPHI] convertir une chaine hexadecimale en suite de bits ...
- utilisation cells.value
- Insérer un retour chariot dans une chaine
- Récupérer les nombres d'une chaine de caractère ???
- remplacer un caractère dans une chaine
- Extraire chaine numérique en VB
- Que signifie chaine[i]='\0';
Marsh Posté le 29-01-2013 à 19:36:17
Bonjour,
je récupère une chaine de caractères dans ma BDD que j'affiche dans un formulaire.
Le problème est que cette phrase est coupé au premier mot à l'affichage.
Si j'essaye d'afficher la chaine en dehors de l'input, la phrase entière apparait correctement.
Voici mon code :
Si ma variable "$robotInfo->robot_name" contient "Bonjour tout le monde", il va afficher "Bonjour".
Merci de votre aide.