Bonjour à tous,

J'ai pas mal bûché aujourd'hui sur les cours de sécurité php avant de me mettre à l'ajax.

Outre le fait que je crois qu'il est totalement inutile de faire un filtre javascript pour les données envoyée au serveur (amis pirates), je me pose une question à laquelle je n'ai toujours pas réponse malgré les nombreux googling.

Ci après :

Mon serveur, mon code, tout est en UTF8. dans ces conditions, htmlentities sert-il encore à quelque chose ?

en effet :
Avec un
Code : Sélectionner tout - Visualiser dans une fenêtre à part
www.test.fr/?client=Cyril<script>monscript</script>
Et dans ma page :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
 
<p><?php echo htmlentities($_GET['client'],ENT_COMPAT,UTF-8);?></p>
J'obtiens :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
 
Cyril<script>monscript</script>
Ca veut dire quoi ? htmlentities a-t'il rendu inoffensif le script potentiel ou pas du tout ?

Merci à vous,

A bientôt,

LeHibou2