ultra_nezz
Messages postés11Date d'inscriptionjeudi 11 novembre 2004StatutMembreDernière intervention24 juin 2009
-
24 juin 2009 à 15:32
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 2009
-
25 juin 2009 à 01:40
Bonjour,
J'ai un form dans lequel la valeur d'un est générée par JS. Le problème posé est la sécurité: en 2-2 qqn possédant firebug peut-envoyer ce qu'il veut à ma page de reception qui se chargera d'inserer les données dans la bdd. Le "truc" c'est que j'aimerais pouvoir inserer du html mais UNIQUEMENT les balises "<map>" et "".
';
echo allowed_tags($l2, $validTags = ''); // affiche dans la source coucou
sans les balises script.
J'aimerais simplement savoir si ce code me permet une sécurité "totale" ou juste suffisante couplée à un mysql_real_escape_string() lors de l'ajout dans la bdd.
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 25 juin 2009 à 01:40
Bonsoir,
Sur la sécurité des données, il vaut mieux toujours avoir une vraie vérification des données reçues.. le Javascript sur la page n'est qu'un helpeur pour valide rplus ou moins la page sans rechargement, mais c'est le boulot du backend serveur de vérifier (et plutôt 2 fois qu'une) la validité des données avnt de fair eles escapes de stockage en BDD.