Type hidden / vérification données envoyées

ultra_nezz Messages postés 11 Date d'inscription jeudi 11 novembre 2004 Statut Membre Dernière intervention 24 juin 2009 - 24 juin 2009 à 15:32
nautilus99 Messages postés 661 Date d'inscription vendredi 26 septembre 2008 Statut Membre Dernière intervention 18 septembre 2009 - 25 juin 2009 à 01:40
Bonjour,

J'ai un form dans lequel la valeur d'un est générée par JS. Le problème posé est la sécurité: en 2-2 qqn possédant firebug peut-envoyer ce qu'il veut à ma page de reception qui se chargera d'inserer les données dans la bdd. Le "truc" c'est que j'aimerais pouvoir inserer du html mais UNIQUEMENT les balises "<map>" et "".

J'ai trouvé une fonction:

 
function allowed_tags($input, $validTags = '')
{
$regex = '#\s*<(/?\w+)\s+(?:on\w+\s*=\s*(["\'\s])?.+?\(\1?.+?\1?\);?\1?|style=["\'].+?["\'])\s*>#is';
return preg_replace($regex, '<${1}>',strip_tags($input, $validTags));
}
 

$l1 = 'coucou

';
echo allowed_tags($l1, $validTags = ''); // affiche dans la source coucou

 
$l2 = '<script type="text/javascript">coucou</script>

';
echo allowed_tags($l2, $validTags = ''); // affiche dans la source coucou

sans les balises script.

J'aimerais simplement savoir si ce code me permet une sécurité "totale" ou juste suffisante couplée à un mysql_real_escape_string() lors de l'ajout dans la bdd.

Cordialement, rikemSen.

1 réponse

nautilus99 Messages postés 661 Date d'inscription vendredi 26 septembre 2008 Statut Membre Dernière intervention 18 septembre 2009 1
25 juin 2009 à 01:40
Bonsoir,

Sur la sécurité des données, il vaut mieux toujours avoir une vraie vérification des données reçues.. le Javascript sur la page n'est qu'un helpeur pour valide rplus ou moins la page sans rechargement, mais c'est le boulot du backend serveur de vérifier (et plutôt 2 fois qu'une) la validité des données avnt de fair eles escapes de stockage en BDD.
0