bonjours
j'aimerais savoir si quelqu'un savais comment resoudre la faille du script suivant

<?php
$host="***";
$user="***";
$pass="***";
$table="***";


$db = mysql_connect($host, $user, $pass)
or die("Impossible de se connecter : " . mysql_error());
mysql_select_db($table,$db)  or die('Erreur de selection '.mysql_error());

$result = mysql_query("SELECT text FROM essai")
            or die("Impossible d'exécuter la requête : " . mysql_error());
$news = mysql_result($result,0);

echo '<form><center><textarea name="textn" id="textn">';
echo $news;
echo '</textarea><br><input type="submit" value="Envoyer" name="envoyer"></center></form>';
if(empty($textn))
    {
    echo '<font color="red">Attention, le champ ne peut pas rester vide !</font>';
    }
else   
    {
$sql1 = "UPDATE essai SET text='$textn'";
// on envoie la requete
mysql_query($sql1) or die('Erreur SQL !<br>'.$sql1.'<br>'.mysql_error());

    echo 'Vos infos on été ajoutées.';


    }
  mysql_close();
?>

la faille etant que l'on peut rentrer n'importe quel valuer dnas la variable textn
le probleme est que la page doit accepter le html aussi que c'est balise

Citation:

la faille etant que l'on peut rentrer n'importe quel valuer dnas la variable textn le probleme est que la page doit accepter le html aussi que c'est balise

J'ai beau tourner cette phrase dans tous les sens je ne comprend toujours pas ce que tu as bien pu vouloir dire...

lol ce quel voulais dire c'est que la commande doit accepter le html mais ne pas utilise le php pour evite les plus gros faille
mais bon je pense que sa va etre tres dur

Citation de: Cocci le le 07-09-2004 a 00:00:40

pour éviter les balises html il existe des fonctions qui te vire toute balise html et tou problème.. du genre... Code: $textn=stripslashes(htmlspecialchars(strip_tags($textn),ENT_QUOTES)); Voilà ! J'espère que ca répond a ta question !

exactement ce que j'aurai écrit...on évite ainsi les sql injections