[Résolu] Problème de retours à la ligne

[Reaven]

Voilà,

Je comprend pas dans mon code pour mon livre d'or j'ai cette partie là:

Code PHP :

<?php 

if (isset($_POST['pseudo']) AND isset($_POST['message']))

{

    $login = mysql_real_escape_string(htmlspecialchars($_POST['pseudo'])); // On utilise mysql_real_escape_string et htmlspecialchars par mesure de sécurité

    $message = mysql_real_escape_string(htmlspecialchars($_POST['message'])); // De même pour le message

    $message = nl2br(stripslashes($message)); // Pour le message, comme on utilise un textarea, il faut remplacer les Entrées par des <br />

 

    // On peut enfin enregistrer :o)

    mysql_query("INSERT INTO livreor VALUES('', '" . $login . "', '" . $message . "')");

} 

[Roworll]

Tiré de la doc PHP

mysql_real_escape_string() appelle la fonction mysql_escape_string() de la bibliothèque MySQL qui ajoute un slash aux caractères suivants : NULL, \x00, \n, \r, \, ', " et \x1a.

\r et\n sont caractères qui font ton retour chariot.
Lorsque tu appelles nl2br, il ne reste plus rien à transformer mysql_real_escape_string a déjà changé ces caractères.

Tu dois faire appel à nl2br avant mysql_real_escape_string,

[Reaven]

Slt,

Que veux-tu dire par mettre avant le mysql_real_escape_string?
Tu veux faire ça:

Code PHP :

<?php 

$message = nl2br(mysql_real_escape_string(htmlspecialchars($message));) 

[Lys91]

$text = str_replace("\n", '<br />', $text);

Voilà ça marche aussi :p

[Reaven]

toujours le même problème.

voici ma ligne après modification:

Code PHP :

<?php 

$message = mysql_real_escape_string(htmlspecialchars($message)); // De même pour le message

$message= stripslashes(str_replace("\n",'<br/>', $message)); 

[X-ZoD]

dans ton sql le champ qui recoit le message doit etre de type TEXT

ensuite tu utilise nl2br() seulement kan tu recupere le texte et laffiche sur la page web

voici comment je fait et ca marche nikel

mettre dans le sql

Code PHP :

<?php 

$db->query("insert into forum_posts (titre, post, date, id_auteur, id_sujet) values ('".htmlentities($_POST['titre'])."', '".htmlentities($_POST['post'])."', now(), ".$_SESSION['id']['user'].", '".$_POST['id_sujet']."')"); 

[Ogham]

Bonsoir,

Il me semblais avoir compris que la fonction mysql_real_escape_string devait être utilisée lorsqu'on veut récupérer des infos dans la bdd (exemple login password dans une procédure de connexion) et ce pour éviter les injections SQL.

Et htmlentities pour éviter d'enregistrer du code dans la BDD à l'insertion de données.
code qui pourrait être interprété par la suite.

Ce sont donc deux failles différentes qui se traitent différemment.

Est-ce bien cela ou ai je tout interprété de travers ?
Dans tous les cas pour le moment j'utilise la méthode d'X-ZoD.

Bonne soirée.

[Reaven]

ok merci

[X-ZoD]

en ce qui concerne les failles je ne peux pas en dire plsu pour le moment .. heureux d'avoir pu aider