Discussion :

[t3__rrY]

Bonjour à tous,

je débute dans en sécurité et j'aurais voulu avoir votre avis sur la question suivante: la fonction PHP filter_input_array pour des données passées en GET est elle suffisante en terme de filtrage?
Voici la ligne correspondant au constructeur de mon dispatcher:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
public function __construct() {
  $this->parameters = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
}

Qu'en pensez vous?

Merci d'avance pour le coup de pouce

[Celira]

FILTER_SANITIZE_STRING
Supprime les balises, et supprime ou encode les caractères spéciaux.

Donc en gros, ça fait strip_​tags + htmlspecialchars, ce qui protège contre les injections de code javascript et autres joyeusetés du genre.

En revanche, pour les injections SQL, il faudra s'en occuper en niveau des requêtes.

[t3__rrY]

Donc ça fera l'affaire, j'ai vais regarder du côté des injections SQL pour sécuriser le terrain, merci pour le retour