Discussion :

[sinifer]

bonjour,

j'ai ajouter une fonction de protection contre les injection sql et xss par contre quand je fais un rapport de test sur firefox il me mets comme quoi il y a possibilité de danger contre les xss.

Je récupère les données d'un post

madSafety($_POST["prenom"]);

cette function est celle-ci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
function madSafety($string){
	$string = mysql_real_escape_string($string); 
	$string = strip_tags($string); 
	$string = htmlspecialchars ($string);
	return $string;
}

ai-je oublié quelque chose ou je dois doit protégé ma variable avant la récupération du post??

Merci de votre aide.

[stealth35]

strip_tags et htmlspecialchars n'ont rien a faire la, c'est au moment de l'affichage qu'il faut le faire

[sabotage]

Les injections XSS et les injections SQL sont deux sujets différents qu'il faut traiter séparement.

[sinifer]

Merci

Donc il faut que je fasse une protection à l'insertion et une autre à l'affichage.

et c'est à l'affichage que je dois mettre mon strip_tags et htmlspecialchars

et pour mon insertion je mets tous simplement mysql_real_escape_string

Merci de me dire si je suis dans le juste.

Cordialement,

[sabotage]

Moi je mettrais le strip_tags() à l'insertion : ça ne sert a rien de stocker des données dont on ne veut pas.

[sinifer]

mais pour l'affichage je mets quoi alors pour me protéger du xss?

[stealth35]

mais pour l'affichage je mets quoi alors pour me protéger du xss?

tu feras

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlspecialchars($truc);

[sinifer]

Ok

Merci je vais testé