JeuWeb Créez votre jeu par navigateur !

Mickaël · (Modification du message : 23-12-2008, 11:48 PM par Mickaël.)

Je ne suis pas totalement d'accord : il existe un 3e argument à htmlentities pour définir l'encodage (cf http://fr2.php.net/manual/fr/function.htmlentities.php).

Par contre je présente mes excuses, je ne me rappelais plus que strip_tags bloquait carrément les "<" suivis d'une lettre. Parce que si ce n'était pas le cas, ça serait sacrément dangereux Tongue

La fonction htmlentities n'est donc pas forcément indispensable ou complémentaire à strip_tags. Ne pas oublier aussi la fonction htmlspecialchars qui fait la même chose que htmlentities sans les "entités HTML" (et donc sans problème d'encodage).

**Sephi-Chan** · 24-12-2008, 12:27 AM

Je soulignais les arguments additionnels de htmlentities() dans mon exemple. Smile

Le quatrième argument est également adapté aux personnes qui appliquent cette fonction avant l'insertion en base de données. En effet, en donnant true en quatrième argument, les caractères déjà encodés ne le seront pas à nouveau, un > ne deviendra pas &gt;. C'est important quand l'on souhaite permettre l'édition d'un message qui a été encodé.

Enfin, htmlspecialchar() est touché par le même problème d'encodage : il renvoie par défaut une chaîne encodée en ISO-8859-15 (mais permet lui aussi de spécifier l'encodage comme troisième argument). C'est transparent dans la plupart des cas mais attention.

Toujours est-il que si l'on travaille avec UTF-8, encoder les caractères n'a pas vraiment d'intérêt, htmlentities() suffit à encoder les caractères &, ', ", < et > (notamment quand on travaille sur des documents XML (récemment, un membre du forum avait un petit soucis avec une feuille XSL et un caractère > : même dans une expression il faut utilise > !)).

Pour moi, la meilleure solution est donc de travailler avec UTF-8 et strip_tags(), que l'on utilisera à l'affichage ou à l'insertion selon les préférences.

Sephi-Chan

Mickaël · 24-12-2008, 12:36 AM

J'ai du mal à comprendre, tu dis que htmlspecialchars sort une chaîne en ISO-8859-15 par défaut, mais puisqu'il ne modifie que & " ' < et >, ne devrait-il pas être transparent dans tous les cas ?
Et merci des autres infos Big Grin

**Sephi-Chan** · 24-12-2008, 12:50 AM

Ce n'est pas parce que c'est transparent que la chaîne n'est pas altérée.

Je ne suis pas assez callé pour savoir quels problèmes une chaîne encodée en ISO-8859-15 peut causer sur un document encodé en UTF-8. D'où l'appel à la prudence. Les pires bugs sont ceux qu'on n'attend pas. Smile

Sephi-Chan

Nodark · 24-12-2008, 12:03 PM

Merci ca m'a rappelé à l'ordre de remettre des barrières Wink

tog84 · 24-12-2008, 03:24 PM

Merci à vous pour vos réponses, cela m'a bien aidé et je suis sûrement pas le seul. :d
Merci

Sondage : Le site SecureM vous a-t-il été utile ? Vous n’avez pas la permission de voter pour ce sondage.
Oui, j'ai même corrigé des failles de sécurité !	25.00%	3	25.00%
Oui, je suis maintenant informé mais mon site était bien conçu =)	41.67%	5	41.67%
Non, vraiment inutile ce site	8.33%	1	8.33%
Je n'ai pas regardé	25.00%	3	25.00%
Total		12 vote(s)	100%