Discussion :

[Stormy68]

Bonsoir,

Pour éviter une injection de HTML via la faille XSS, j'ai lu qu'il fallait utiliser htmlspecialchars. Cependant cette fonction est plutôt contraignante. Par exemple dans un système de news où les articles seraient enregistrés dans une bdd, il serait impossible d'afficher le texte en gras: on récupère

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<strong>texte</strong>

de la bdd mais htmlspecialchars empêche leur activation.

Existe-t-il une alternative? Par exemple refuser tout formulaire contenant du code HTML et utiliser des balises bbcode qui seront remplacées par des balises HTML?

Merci!

[sabotage]

Tu as déjà la solution apparemment.

[ilalaina]

Bonjour,
Tu peux très bien utiliser htmlspecialchars lors de l'enregistrement dans la BDD et ensuite utiliser htmlspecialchars_decode lorsque tu veux afficher les données.

[stealth35]

Bonjour,
Tu peux très bien utiliser htmlspecialchars lors de l'enregistrement dans la BDD et ensuite utiliser htmlspecialchars_decode lorsque tu veux afficher les données.

en faisant ça, tu foires ta base de données et en plus t'es soumis au XSS...


sinon on peut toujours utiliser strip_tags et garder les balises du type <strong>