Coucou,
Une petite question me passait par là.
J'ai l'habitude de protéger mes champs par htmlspecialchars() et real_escape_string() sur des input de type texte (et textarea) vu que les données sont saisies par des utilisateurs.
Faut-il aussi faire de même pour les input de type radio,checkbox et select ?
En gros, est-il possible qu'un utilisateur puisse "par je sais quel moyen" transformer le champ de notre formulaire en un autre champ et saisir "ce qu'il veut" ?...
Parce que bon, imaginons, je protége le nom et le prénom.
Le troisième champs est une liste (select) d'âges allant de 11 à 121 ans...
Par un prodige que je ne connais pas "peut être un logiciel qui se surcouche au navigateur", le mec change "à la volée le formulaire", m'en fait un champ de saisie... et au lieu de m'envoyer un simple entier (que je ne testerais pas, naif que je suis étant persuadé que via une liste on ne peut rien m'envoyer de néfaste) m'envoie un truc pas sympa.
En gros dans mon délire paranoïaque :
- faut il tester tout ce qui est envoyé par POST, même les champs select, radio, checkbox et hidden ?
- peut-on substituer le type d'un champ et envoyer ça au serveur "naturellement" ? Si oui... est-ce que l'inventeur de ça est en prison :p ?
Merci ^^
Partager