Discussion :

[ShinJava]

Dans ce cas là autant interdire les caractères "<" et ">", c'est plus pratique qu'un htmlspecialschar() non ? (c'est inutile ces caractères dans le cadre d'un formulaire d'inscription ou d'envoi d'email)

++
ShinJava


PS : ce sujet date d'un petit peu, mais je l'ai trouvé en faisant une recherche sur les injections

[Yogui]

Pourquoi interdire des caractères alors que tu peux tous les autoriser sans avoir de faille de sécurité ?

[ShinJava]

Bah au niveau de l'execution du code, cela ne serait pas plus rapide qu'un htmlspecialchars ? (désolé si la question parait naïf )


++
ShinJava

[Yogui]

En effet, ce serait bien plus rapide, dans la mesure où ton remplacement ne serait fait qu'une fois (à l'enregistrement en BDD) alors qu'htmlspecialchars() est appelé à chaque affichage.

Cela dit, je ne te parle pas de rapidité. Il est toujours bien plus rapide de coder comme un cochon ^^

Non, je te parle de sécurité : maîtrises-tu sur le bout des doigts l'ensemble des failles qui existent déjà et celles qui seront découvertes jusqu'à la fin des temps ?
Je ne pense pas trop me tromper en affirmant que non.
Je ne pense pas trop me tromper non plus en affirmant qu'htmlspecialchars(), correctement utilisé, te protège infiniment plus contre les attaques que si tu utilisais ton remplacement basique.

[ShinJava]

Tout d'abord, merci pour ta réponse.

Là je suis en tort de d'avoir repondu trop vite à ce topic.
Ma première réponse était basé sur l'inutilité des caractères "<" et ">" dans le cas où on enregistre les données utilisateur (nom, prénom et adresse par exemple) et j'aurais du aller plus loin car dans ce cas là il est préférable d'autoriser les caractères via regex. J'étais pas parti dans une logique d'affichage. Je sais pas ce qui m'a pris là.
Enfin bref, désolé .

Tu peux effacer les messages à partir du mien si tu veux, afin de garder une meilleur clarté de ce sujet et d'éviter la confusion.

Encore désolé pour ce ptit hors sujet et bonne soirée.

++
ShinJava