Aller au contenu

Sécuriser ses formulaires


Sujets conseillés

Posté

Bonjour,

je n'ai pas trouvé sur le hub de "check-list anti injections", et je m'inquiete un peu pour les formulaires que je suis en train de mettre en place ...

comment sécuriser efficacement ses formulaires?

utiliser la fonction htmlentities avec l'option ENT_QUOTES?

faut-il utiliser la fonction mysql_real_escape_string()?

une question annexe: quand on stocke un texte en base après l'avoir filtré avec htmlentities, faut-il utiliser la fonction html_entity_decode pour l'affichage?

Merci d'avance pour vos réponses,

ZN

Posté

Hello,

htmlentities() pour le stockage en base ne sert à rien, si ce n'est empêcher toute recherche dans la base de données.

de même, mysql_real_escape_string() ne sert qu'au stockage en base, et certainement pas à l'affichage.

Pour les différentes options d'htmlentities(), tout dépend du contexte d'utilisation de la variable. Si c'est pour la coller dans un champ "attribut" d'un tag HTML, alors ce n'est pas forcément la même chose que le fait de la mettre entre deux tags HTML. Le fait d'utiliser des simples quotes ou bien des doubles quotes pour les attributs affecte également ce choix.

Dans tous les cas, il n'existe aucune fonction qui "protège de tout contre tout" ; chaque fonction a un rôle très spécifique.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...