sielfried a écrit :
Avant de balancer la valeur en bdd (je suppose que tu stockes ça dans une bdd), si c'est du mysql, passe un coup de mysql_real_escape_string dessus (tout en entourant de quotes). Si c'est une autre bdd, je sais pas, mais à défaut d'une telle fonction, addslashes est souvent suffisant.
Après avoir récupéré la valeur dans la bdd, utilise htmlentities (ou htmlspecialchars) avant d'afficher.
Tout ceci implique que PHP soit configuré avec magic_quotes à off, ce qui est conseillé (dans le cas contraire, utiliser stripslashes avant mysql_real_escape_string).
|