SQL ou php ajoute des htmlentities ?

[malopo]

Bonjour,

Je m'arrache un peu les cheveux sur ce problème.
J'ai un formulaire qui POST vers une page valider.php

là je fais juste

$contenu = mysql_escape_string($_POST['contenu']);

puis j'insère $contenu dans une table mysql. Si je poste par exemple la phrase
ça

j'ai
ça

dans la table ! Mais je ne fais jamais un htmlentities !! Quelqu'un aurait une idée de la raison ?

Merci!

[theJB]

je crois que les variables post sont automatiquement protégées, c'est avec les get qu'il faut les echapper..

[UsagiYojimbo]

je crois que les variables post sont automatiquement protégées, c'est avec les get qu'il faut les echapper..

Je suis mais alors pas du tout convaincu là...

[petit-ourson]

je crois que les variables post sont automatiquement protégées, c'est avec les get qu'il faut les echapper..

Moi non plus pas convaincu du tout... Si après les "magic quotes" inutiles, on se retrouve avec des "magic entities", on est mal barré !!!

[jarreweb]

POST et GET sont protégées si les magic quotes sont activés

[zeb]

POST et GET sont protégées si les magic quotes sont activés

mais de la a faire un htmlentities il y a de la marge non ?

[Hearty]

Pour "protégé", dirons nous plutôt pour échapper certains caractères, on utilise addslashes, et non htmlentities
Si magic_quotes_gpc est activée sur le serveur, alors addslashes n'est pas nécessaire pour échappé les caractères.
Perso je suis plus d'avis de toujours mettre addslashes, et de desactiver magic_quotes via htaccess....
Ou mieux encore, de te créer ta propre fonction myaddslashes par exemple, a utiliser à la place de addslashes.
Ainsi, si le serveur a ou n'a pas magic_quotes activé, et si le serveur autorise ou non de modifier sa valeur par htaccess, ben il te suffit de modifier ta fonction myaddslashes et t'as pas toutes tes pages et scripts à retoucher.