-ZN- Posté 30 Avril 2008 Posté 30 Avril 2008 Bonjour, je n'ai pas trouvé sur le hub de "check-list anti injections", et je m'inquiete un peu pour les formulaires que je suis en train de mettre en place ... comment sécuriser efficacement ses formulaires? utiliser la fonction htmlentities avec l'option ENT_QUOTES? faut-il utiliser la fonction mysql_real_escape_string()? une question annexe: quand on stocke un texte en base après l'avoir filtré avec htmlentities, faut-il utiliser la fonction html_entity_decode pour l'affichage? Merci d'avance pour vos réponses, ZN
Kioob Posté 30 Avril 2008 Posté 30 Avril 2008 Hello, htmlentities() pour le stockage en base ne sert à rien, si ce n'est empêcher toute recherche dans la base de données. de même, mysql_real_escape_string() ne sert qu'au stockage en base, et certainement pas à l'affichage. Pour les différentes options d'htmlentities(), tout dépend du contexte d'utilisation de la variable. Si c'est pour la coller dans un champ "attribut" d'un tag HTML, alors ce n'est pas forcément la même chose que le fait de la mettre entre deux tags HTML. Le fait d'utiliser des simples quotes ou bien des doubles quotes pour les attributs affecte également ce choix. Dans tous les cas, il n'existe aucune fonction qui "protège de tout contre tout" ; chaque fonction a un rôle très spécifique.
Pybou Posté 1 Mai 2008 Posté 1 Mai 2008 J'ai fait un post similaire il y a quelques temps : http://www.webmaster-hub.com/index.php?showtopic=41045
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant