CHaine coupé dans le value d'un input

Marsh Posté le 29-01-2013 à 19:36:17

Bonjour,

je récupère une chaine de caractères dans ma BDD que j'affiche dans un formulaire.
Le problème est que cette phrase est coupé au premier mot à l'affichage.
Si j'essaye d'afficher la chaine en dehors de l'input, la phrase entière apparait correctement.

Voici mon code :

Code :

$robotInfo = $wpdb->get_results("SELECT * FROM kel_classement_robot WHERE id_robot = '". $_GET["id_robot"]."'" );
[...]
echo "<input type='text' id=".$nameCol." name=".$nameCol." value=".$robotInfo->robot_name.">";
[...]

Si ma variable "$robotInfo->robot_name" contient "Bonjour tout le monde", il va afficher "Bonjour".

Merci de votre aide.

Reply

Marsh Posté le 29-01-2013 à 19:36:17

Reply

Marsh Posté le 29-01-2013 à 21:10:09

Lorsque tu as un espace dans ta chaine de caractères, ton attribut doit être quotté (value='...' au lieu de value=...). C'est une règle constante en HTML.

value='".$robotInfo->robot_name."'>";

---------------
Directeur Technique (CTO)

Reply

Marsh Posté le 30-01-2013 à 09:39:59

Merci ça marche !

Reply

Marsh Posté le 30-01-2013 à 15:45:56

Complément pour t'éviter de revenir : si ta valeur contient un guillemet, faudra l'échapper en le préfixant du caractère \

Message cité 1 fois

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

Reply

Marsh Posté le 30-01-2013 à 20:16:46

C'est un topic WTF en fait?

rufo a écrit :

Complément pour t'éviter de revenir : si ta valeur contient un guillemet, faudra l'échapper en le préfixant du caractère \

Non, "\" c'est pour une quote littérale dans une chaîne PHP, pas pour du HTML [:pingouino]

Mohi: bravo, ton script permet de prendre le contrôle de ton serveur via injection SQL et des pages via cross-site scripting:

Tu balances un paramètre venant du client sans aucun nettoyage dans une requête SQL, Google m'indique que c'est du wordpress, prière d'aller lire et appliquer http://codex.wordpress.org/wpdb_Cl [...] on_Attacks (et le reste du document, ça peut pas faire de mal)
Tu balances ensuite du bordel probablement pas nettoyé dans des attributs HTML, prière de lire, comprendre et utiliser http://codex.wordpress.org/Function_Reference/esc_attr ou (pour une version non spécifique à Wordpress) http://php.net/manual/en/function.htmlspecialchars.php

Et quand t'auras fait ça, qui est un début, prière d'aller lire http://codex.wordpress.org/Data_Validation en entier, en cliquant sur les liens pour aller lire et comprendre les fonctions et documents mentionnés.

Message cité 1 fois
Message édité par masklinn le 30-01-2013 à 20:19:01

---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?

Reply

Marsh Posté le 31-01-2013 à 15:47:39

masklinn a écrit :

C'est un topic WTF en fait?

masklinn a écrit :

Non, "\" c'est pour une quote littérale dans une chaîne PHP, pas pour du HTML [:pingouino]

Mohi: bravo, ton script permet de prendre le contrôle de ton serveur via injection SQL et des pages via cross-site scripting:

Tu balances un paramètre venant du client sans aucun nettoyage dans une requête SQL, Google m'indique que c'est du wordpress, prière d'aller lire et appliquer http://codex.wordpress.org/wpdb_Cl [...] on_Attacks (et le reste du document, ça peut pas faire de mal)
Tu balances ensuite du bordel probablement pas nettoyé dans des attributs HTML, prière de lire, comprendre et utiliser http://codex.wordpress.org/Function_Reference/esc_attr ou (pour une version non spécifique à Wordpress) http://php.net/manual/en/function.htmlspecialchars.php

Et quand t'auras fait ça, qui est un début, prière d'aller lire http://codex.wordpress.org/Data_Validation en entier, en cliquant sur les liens pour aller lire et comprendre les fonctions et documents mentionnés.

Désolé, je me suis mélangé les pinceaux. Ca, c'était dans le cas d'un insert dans une BD Mysql

Effectivement, c'est htmlspecialchars() qu'il faut utiliser pour transformer certains caractères en entités html. :jap:

Message cité 1 fois

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

Reply

Marsh Posté le 31-01-2013 à 18:50:40

rufo a écrit :

Désolé, je me suis mélangé les pinceaux. Ca, c'était dans le cas d'un insert dans une BD Mysql

Quand on insert dans une db, on ajoute pas des "\" à la main on utilise des prepared statements (de préférence, de très loin) ou la fonction d'escaping de la db [:petrus75]

Message édité par masklinn le 31-01-2013 à 18:51:10

---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?

Reply

CHaine coupé dans le value d'un input

Sujets relatifs:

Leave a Replay