faille dans ma protection xss [Résolu]

sinifer · 31/01/2011, 15h10

bonjour,

j'ai ajouter une fonction de protection contre les injection sql et xss par contre quand je fais un rapport de test sur firefox il me mets comme quoi il y a possibilité de danger contre les xss.

Je récupère les données d'un post

Citation:

madSafety($_POST["prenom"]);

cette function est celle-ci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
function madSafety($string){
	$string = mysql_real_escape_string($string); 
	$string = strip_tags($string); 
	$string = htmlspecialchars ($string);
	return $string;
}

ai-je oublié quelque chose ou je dois doit protégé ma variable avant la récupération du post??

Merci de votre aide.

stealth35 · 31/01/2011, 16h27

strip_tags et htmlspecialchars n'ont rien a faire la, c'est au moment de l'affichage qu'il faut le faire

sabotage · 31/01/2011, 20h02

Les injections XSS et les injections SQL sont deux sujets différents qu'il faut traiter séparement.

sinifer · 01/02/2011, 09h30

Merci

Donc il faut que je fasse une protection à l'insertion et une autre à l'affichage.

et c'est à l'affichage que je dois mettre mon strip_tags et htmlspecialchars

et pour mon insertion je mets tous simplement mysql_real_escape_string

Merci de me dire si je suis dans le juste.

Cordialement,

sabotage · 01/02/2011, 09h52

Moi je mettrais le strip_tags() à l'insertion : ça ne sert a rien de stocker des données dont on ne veut pas.

sinifer · 01/02/2011, 12h14

mais pour l'affichage je mets quoi alors pour me protéger du xss?

stealth35 · 01/02/2011, 13h26

Citation:

Envoyé par sinifer

mais pour l'affichage je mets quoi alors pour me protéger du xss?

tu feras

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlspecialchars($truc);

sinifer · 02/02/2011, 14h49

Ok

Merci je vais testé

31/01/2011, 16h27	#2
stealth35 Modérateur Inscription : septembre 2010 Messages : 7 101 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 7 101 Points : 8 466 Points : 8 466	strip_tags et htmlspecialchars n'ont rien a faire la, c'est au moment de l'affichage qu'il faut le faire __________________ http://blog.stealth35.com/
	00

31/01/2011, 20h02	#3
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Les injections XSS et les injections SQL sont deux sujets différents qu'il faut traiter séparement.
	00

01/02/2011, 09h30	#4
sinifer Nouveau Membre du Club Inscription : février 2008 Messages : 318 Détails du profil Informations forums : Inscription : février 2008 Messages : 318 Points : 39 Points : 39	Merci Donc il faut que je fasse une protection à l'insertion et une autre à l'affichage. et c'est à l'affichage que je dois mettre mon strip_tags et htmlspecialchars et pour mon insertion je mets tous simplement mysql_real_escape_string Merci de me dire si je suis dans le juste. Cordialement,
	00

01/02/2011, 09h52	#5
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Moi je mettrais le strip_tags() à l'insertion : ça ne sert a rien de stocker des données dont on ne veut pas.
	00

01/02/2011, 12h14	#6
sinifer Nouveau Membre du Club Inscription : février 2008 Messages : 318 Détails du profil Informations forums : Inscription : février 2008 Messages : 318 Points : 39 Points : 39	mais pour l'affichage je mets quoi alors pour me protéger du xss?
	00

02/02/2011, 14h49	#8
sinifer Nouveau Membre du Club Inscription : février 2008 Messages : 318 Détails du profil Informations forums : Inscription : février 2008 Messages : 318 Points : 39 Points : 39	Ok Merci je vais testé
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email