Impossible d'enregistrer une variable texte avec apostrophe
cs_brice57
Messages postés15Date d'inscriptionvendredi 28 novembre 2003StatutMembreDernière intervention15 avril 2004
-
12 avril 2004 à 18:50
cs_brice57
Messages postés15Date d'inscriptionvendredi 28 novembre 2003StatutMembreDernière intervention15 avril 2004
-
12 avril 2004 à 23:22
bonjour,
je suis en train de faire un forum et je rencontre un problème du moins handicapant. Impossible de mettre des apostrophes dans les messages sinon ils ne sont pas enregistrés dans la base de données :-/
voilà le code de la textarea où je saisis le message:
ADPro22
Messages postés126Date d'inscriptionmercredi 18 juillet 2001StatutMembreDernière intervention27 octobre 2004 12 avril 2004 à 20:52
Avant d'entrer les données dans la base, il est indispensable d'échapper les caractères ' et " !!!
Sinon, il est possible de faire éxécuter du code malveillant au serveur comme par exemple en postant dans le champ message un truc du genre :
', ''); DROP DATABASE;
Et hop, l'utilisateur a détruit ta base de données !
Pour éviter cela, tu devras échapper toutes les chaines de caractères saisies par l'utilisateur avant de les entrer dans la base. Et à la lecture, de les deséchapper.