Type hidden / vérification données envoyées

Question

Bonjour, J'ai un form dans lequel la valeur d'un est générée par JS. Le problème posé est la sécurité: en 2-2 qqn possédant firebug peut-envoyer ce qu'il veut à ma page de reception qui se chargera d'inserer les données dans la bdd. Le "truc" c'est que j'aimerais pouvoir inserer du html mais UNIQUEMENT les balises "" et "". J'ai trouvé une fonction: function allowed_tags($input, $validTags = '') { $regex = '#\s*<(/?\w+)\s+(?:on\w+\s*=\s*(["\'\s])?.+?$\1?.+?\1?$;?\1?|style=["\'].+?["\'])\s*>#is'; return preg_replace($regex, '<${1}>',strip_tags($input, $validTags)); } $l1 = 'coucou '; echo allowed_tags($l1, $validTags = ''); // affiche dans la source coucou $l2 = ' '; echo allowed_tags($l2, $validTags = ''); // affiche dans la source coucou sans les balises script. J'aimerais simplement savoir si ce code me permet une sécurité "totale" ou juste suffisante couplée à un mysql_real_escape_string() lors de l'ajout dans la bdd. Cordialement, rikemSen.

nautilus99 · Answer

Bonsoir,

Sur la sécurité des données, il vaut mieux toujours avoir une vraie vérification des données reçues.. le Javascript sur la page n'est qu'un helpeur pour valide rplus ou moins la page sans rechargement, mais c'est le boulot du backend serveur de vérifier (et plutôt 2 fois qu'une) la validité des données avnt de fair eles escapes de stockage en BDD.

Type hidden / vérification données envoyées

1 réponse

Votre réponse

Discussions similaires