JulioDelphi
Messages postés2226Date d'inscriptiondimanche 5 octobre 2003StatutMembreDernière intervention18 novembre 201014 1 nov. 2006 à 00:34
que veux tu eviter ? les <script> et autres <...> ?
si tu utilises une BDD, entre les données comme ça sans filtrage, puis a la sortie, fait un simple "str_replace("<","<",$var);" et "str_replace(">",">",$var);"
si tu veux vraiment tout tout tranformer, alors euh addslashes() n'est pas la bonne soluce, les deux autres HTML.... sont les meilleures, regarde les exemples sur php.net ils sont bien descriptifs.
slt merci d eta reponse, ben queceque je veux bloquer? enfait je ne m'y connait pas au niveau de la securitée mais mais je sais que si je filtre pas les donées recuperé je m'expose a des souci de securité comme l'injection sql ou je ne sais quoi. la seule menace que j'ai bien comprise c'est l'injection sql, mais on m'a parlé de xss...je ne sais pas si yen a d'autre. enfin bref je voudrai savoir comment filtrer efficassemnt les donées receuilli par mes script via $_post et $_get pour evityer tout souci...
j'ai apris le php sur le site du zero des le debut des tuto il etait indiqué quil falais presque systematiquement filtrer avec htmlentities().
merci de ta reponse apres avoir lu les tuo et avoir fait de nombreuse recherche sur le net voila ce que j'ai pu en conclure :
pour securiser les données que je recupere par GPC j'applique
1/ stripslashes() ->je vire tout les anti-slash eventuels (si magic_quotes_gpc est à ON.) (car magic_quotes_gpc() n'echape pas tout correctement doncje retourne a des donées brutes.
2/ mysql_real_escape_string() -> je bloque toute tentative d'injection sql en echapant tt les caracter
3/ htmlspecialchars() ->je bloque toute faille XSS mais je conserve les caractere dit speciaux contrairement a htmlentities (genre l'alphabet grec minucule et mjuscule et compagnie qui peuvent servir selon le theme du site)
je peux alors enregistrer mes données sans soucis.