Script dans un champs (sécurité)

nicki223
PHP

Bonjour !
Je souhaiterai savoir si vous connaissiez une fonction efficace pour supprimer les "<" quand quelqu'un l'entre dans mon text area cer j'ai protéger avec mysqli_real_escape_string() mais ca ne suffit pas quand j'entre ce script :

<script>alert('bug');</script><style>*{display:none;}</style>

ca passe du coup je ne sais pas quoi faire voici mon code:

// MODIFICATION COMMENTAIRE

if(isset($_GET['action']) && $_GET['action'] == 'modification')
{ 

    if(isset($_GET['id_avis']))
    {
        $resultat = executeRequete("SELECT * FROM avis WHERE id_avis='$_GET[id_avis]'");
        $article_actuel = $resultat->fetch_assoc();
        /*  debug($article_actuel);  */
    }

    if(isset($_POST['enregistrement'])){

$connexion_bdd = mysqli_connect("cl1xxxx", "xxx", "xxxx", "xx");        
$commentaire = mysqli_real_escape_string($connexion_bdd, $_POST['commentaire']);        

    executeRequete("UPDATE avis SET commentaire = '$commentaire' WHERE id_avis ='$_POST[id_avis]'");
    /*echo $_POST['commentaire'];*/

    }   
    echo '</table>';
}
?>
        <h2 class="margin-top">Modifier le commentaire:</h2>
    <div class="boite compte">
        <form class="form_globale" method="post">

        <input type="text" id="id_avis" name="id_avis" class="form-control" value="<?php if(isset($article_actuel['id_avis'])) echo $article_actuel['id_avis']?>" />
        <input type="text" id="id_membre" name="id_membre" class="form-control" value="<?php if(isset($article_actuel['id_membre'])) echo $article_actuel['id_membre']?>" />
        <input type="text" id="id_article" name="id_article" class="form-control" value="<?php if(isset($article_actuel['id_article'])) echo $article_actuel['id_article']?>" />

        <div class="form_input">
            <textarea id="commentaire" name="commentaire" class="input_control" placeholder="Description..."><?php if(isset($article_actuel['commentaire'])) echo $article_actuel['commentaire'];?><?php if(isset($commentaire)) echo $commentaire;?></textarea>
        </div>

            <input class="bouttonform" type="submit" name="enregistrement" value="<?php echo ucfirst($_GET['action']);?>"/>
        </form>
    </div>

</div><!-- /main content -->
</article><!-- /main -->

Merci par avance pour votre aide

4 réponses

nicki223
Auteur
Réponse acceptée

Merci de ta réponse @martin
Mais du coup mais appostrophevont se transpormer?
Si quelq'un entre dans un champs le mots : "l'article" par exemple

nicki223
Auteur
Réponse acceptée

merci a tous jai utilisé htmlentites c'était le mieux

Martin

Hello,

Tu peux utliser cette function php :
htmlspecialchars

Martin

Convertit les caractères spéciaux en entités HTML

Pour echaper les " , tu peux utliser addslashes