Bonjour
Je travaille sur un petit router. Tout pointe vers l'index puis je dois traiter (router) les url.
1ere étape ne jamais faire confiance. Puisque je vais récupérer mon URL et que tout le monde peut y taper n'importe quoi il faut donc que je la filtre.
Ca c'est la théorie.... mais en pratique
Je récupère mon URL avec $_SERVER["REQUEST_URI"] bon choix ? ou solution alternative ???
Si dans mon URL j'ajoute
<script>alert(document.cookie)</script>
Si j'affiche l'url
echo ( $_SERVER["REQUEST_URI"] );
j’obtiens
"/%3Cscript%3Ealert(document.cookie)%3C/script%3E"
Si avant je fais
filter_var( $url , FILTER_SANITIZE_STRING )
J'obtiens toujours
"/%3Cscript%3Ealert(document.cookie)%3C/script%3E"
Donc soit cela ne sert a rien de filtrer $_SERVER["REQUEST_URI"].
Soit c'est le filtre qui n'est pas adapté
Soit je ne comprends pas l'utilité du filtre.
Partager