Bonjour,

 

Je suis actuellement sur un projet web et étant donné que les utilisateurs pourront envoyer des infos (via $_GET et formulaire mail), je voudrais bien protéger mon site des injections.

 

Coté SQL, rien à craindre parce que j'utilise PDO (et surtout parce que je n'ai pas de base de données à utiliser actuellement ).

 

Pour le PHP, j'ai codé une p'tite fonction, est-elle suffisante ?

function protectInjection($variable) {
    $sanitize = $variable;
    
    if (get_magic_quotes_gpc()) {
        $sanitize = stripslashes($variable);	 
    }
    
    return htmlspecialchars(trim($sanitize));
}

J'y fais passer tout ce qui provient de $_POST().

 

 

Merci à vous ;-)

Modifié le 9 août 201510 a par Arcy

Bah les injections, comme tu l'as dit avec PDO et le bind ...

 

Pour le cross scripting,il y a htmlentities, comme ça les script ne sont plus de vulgaire chaine de caractères ...

 

Après tu peux utiliser des plugin JS pour empêcher certains chaînes d'expressions bizarres ^^

Donc htmlentities() est mieux que htmlspecialchars(), non ?

http://stackoverflow.com/questions/46483/htmlentities-vs-htmlspecialchars

 

Vu que mon PHP n'est pas très avancé Mais d'après les grande lignes, htmlspecialcharts le plus possible.