Arcy Posté(e) le 9 août 2015 Partager Posté(e) le 9 août 2015 Bonjour, Je suis actuellement sur un projet web et étant donné que les utilisateurs pourront envoyer des infos (via $_GET et formulaire mail), je voudrais bien protéger mon site des injections. Coté SQL, rien à craindre parce que j'utilise PDO (et surtout parce que je n'ai pas de base de données à utiliser actuellement ). Pour le PHP, j'ai codé une p'tite fonction, est-elle suffisante ? function protectInjection($variable) { $sanitize = $variable; if (get_magic_quotes_gpc()) { $sanitize = stripslashes($variable); } return htmlspecialchars(trim($sanitize)); } J'y fais passer tout ce qui provient de $_POST(). Merci à vous ;-) Lien vers le commentaire Partager sur d’autres sites More sharing options...
RinDman Posté(e) le 9 août 2015 Partager Posté(e) le 9 août 2015 Bah les injections, comme tu l'as dit avec PDO et le bind ... Pour le cross scripting,il y a htmlentities, comme ça les script ne sont plus de vulgaire chaine de caractères ... Après tu peux utiliser des plugin JS pour empêcher certains chaînes d'expressions bizarres ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arcy Posté(e) le 9 août 2015 Auteur Partager Posté(e) le 9 août 2015 Donc htmlentities() est mieux que htmlspecialchars(), non ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
RinDman Posté(e) le 9 août 2015 Partager Posté(e) le 9 août 2015 http://stackoverflow.com/questions/46483/htmlentities-vs-htmlspecialchars Vu que mon PHP n'est pas très avancé Mais d'après les grande lignes, htmlspecialcharts le plus possible. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.