Discussion :

[helmi.dridi]

Salut a tous !

Tout est dans le titre.


Merci

[sabotage]

La différence étant dans le traitement des caractères accentués, cela ne fait pas de différence.

[helmi.dridi]

Je viens de trouver ça dans la doc officielle et je ne sais pas si c'est correcte ...

http://www.php.net/manual/fr/functio...hars.php#89796

Traduction

une confusion fréquente chez les débutants, c'est que quelle est la différence entre htmlentities () et htmlspecialchars () vraiment, parce que le manuel sont des exemples de conversion chevrons pour les deux.

ainsi, htmlentities () va aussi chercher les caractères d'autres langues dans la chaîne de l'allemand, le français ou l'italien, etc Donc, si vous pensez que votre attaquant peut utiliser certains des caractères de langues étrangères pour une attaque XSS dans l'URL, etc utiliser htmlentities () au lieu de htmlspecialchars ().

[sabotage]

Ce qui est écrit est vrai : s'il existait une attaque qui se base sur les caractères accentuées et n'avait besoin ni de chevrons ni de guillemets, il passerait à travers htmlspecialchars().
Je ne saurais pas te dire si un truc pareil existe ou non mais ca me parrait peu probable.

[Shinji62]

salut,
Un article intéressant bien qu'un peu vieux avec des expression régulières :

http://www.securityfocus.com/infocus/1768