Une alternative à htmlspecialchars?

Stormy68 · 03/12/2010, 22h34

Bonsoir,

Pour éviter une injection de HTML via la faille XSS, j'ai lu qu'il fallait utiliser htmlspecialchars. Cependant cette fonction est plutôt contraignante. Par exemple dans un système de news où les articles seraient enregistrés dans une bdd, il serait impossible d'afficher le texte en gras: on récupère

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<strong>texte</strong>

de la bdd mais htmlspecialchars empêche leur activation.

Existe-t-il une alternative? Par exemple refuser tout formulaire contenant du code HTML et utiliser des balises bbcode qui seront remplacées par des balises HTML?

Merci!

sabotage · 04/12/2010, 01h21

Tu as déjà la solution apparemment.

ilalaina · 07/12/2010, 08h19

Bonjour,
Tu peux très bien utiliser htmlspecialchars lors de l'enregistrement dans la BDD et ensuite utiliser htmlspecialchars_decode lorsque tu veux afficher les données.

stealth35 · 07/12/2010, 10h07

Citation:

Envoyé par ilalaina

Bonjour,
Tu peux très bien utiliser htmlspecialchars lors de l'enregistrement dans la BDD et ensuite utiliser htmlspecialchars_decode lorsque tu veux afficher les données.

en faisant ça, tu foires ta base de données et en plus t'es soumis au XSS...

sinon on peut toujours utiliser strip_tags et garder les balises du type <strong>

03/12/2010, 22h34	#1
Stormy68 Invité de passage Inscription : novembre 2010 Messages : 9 Détails du profil Informations forums : Inscription : novembre 2010 Messages : 9 Points : 1 Points : 1	Une alternative à htmlspecialchars? Bonsoir, Pour éviter une injection de HTML via la faille XSS, j'ai lu qu'il fallait utiliser htmlspecialchars. Cependant cette fonction est plutôt contraignante. Par exemple dans un système de news où les articles seraient enregistrés dans une bdd, il serait impossible d'afficher le texte en gras: on récupère Code : Sélectionner tout - Visualiser dans une fenêtre à part <strong>texte</strong> de la bdd mais htmlspecialchars empêche leur activation. Existe-t-il une alternative? Par exemple refuser tout formulaire contenant du code HTML et utiliser des balises bbcode qui seront remplacées par des balises HTML? Merci!
	00

04/12/2010, 01h21	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Tu as déjà la solution apparemment.
	00

07/12/2010, 08h19	#3
ilalaina Membre habitué Ilalaina Rasoloarison Inscription : mai 2007 Messages : 330 Détails du profil Informations personnelles : Nom : Ilalaina Rasoloarison Localisation : Madagascar Informations forums : Inscription : mai 2007 Messages : 330 Points : 129 Points : 129	Bonjour, Tu peux très bien utiliser htmlspecialchars lors de l'enregistrement dans la BDD et ensuite utiliser htmlspecialchars_decode lorsque tu veux afficher les données. __________________ " ... On naît, on vit, on meurt, mais exister est un honneur ... "
	02

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email