[PHP] Comment sécuriser un script ?

[SkyMaster]

voilà mon pbm : je voulais créer un script qui permette d'ajouter des commentaire aux news ms je vx faire en sorte que personne ne puisse s'en servir pr hacker le site...Ca m'est déjà arrivé une fois à cause de MyNews et je vx pas que ça se reproduise.

Dc au dpt j'avais crée une BDD qui contient les commentaires ms avt leur insertion ds celle ci je faisais un eregi_replace (je crois que c'était ça...) pr que tt les endroits où on peut lire par ex : onload:javascript... soient remplacés par un espace vide. G dc fait ça ac ts les évènements javascript (je vs raconte pas le nbre de lignes de code)...Et j'me dis qu'il doit bien y avoir un moyen plus simple. Ne peut on pas afficher directement le contenu des commentaires en mode "texte", sans qu'il soit interprété par le navigateur ? Histoire de court-circuiter le html et le javascript quoi....

Merci d'avance pr votre aide !

 

[thrips]

euh ouais quand tu affiche tu texte qui pourrait contenir du code HTML ou JavaScript à partir d'une BDD, t'as quà lui dire en php :

[cpp]htmlentities(ton texte)[/cpp]

où ton texte peut être une variable résultat d'une requète SQL ou une string normale.

 

[SkyMaster]

dc en gros faudrait faire un truc de ce style

[cpp]mysql_result....blablabla

$contenu_commentaire = htmlentities($contenu_commentaire);

echo $contenu_commentaire;[/cpp]

Ca irait ça ?
En ts cas mci pr l'info !!

 

[siegone]

le mieux serait de le faire avant l'insertion dans la base de donnée je pense mais sinon oui c'est bien ca

 

[SkyMaster]

ok mci bcp !!