Discussion :

[Pouzy]

Bonjour tout le monde,

J'ai un petit souci d'AJAX. Je fais un pré-contrôle de champs lors d'un remplissage de formulaire, via ajax. dans le xhr.send, j'envoie les paramètres comme ceci : username='+this.value;

Je ne pense pas avoir besoin d'ajouter d'autre code là dedans, en fait mon souci étant que si la personne utilise un & dans son pseudo, et bien... Ca change l'envoi, tout simplement.

Pour un exemple, si le pseudo est hel&lo, la requête envoyée est username=hel&lo, donc analysée avec deux attributs de POST.
Quelqu'un aurait une idée sur comment empêcher ça?

Merci

EDIT: Il y a bien la fonction escape(), mais elle n'est pas proche de htmlspecialchars, elle met la chaine sous forme d'URL plus ou moins..

[Zartan]

On peut utiliser la fonction escapeHTML() de prototype :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
function test()
{
	a = "h&ello" ;
	alert(a) ;
	alert( a.escapeHTML() );
}

Mais ça ne protègera pas d'une attaque,vu que l'attaquant pourra modifier le javascript.

[Bovino]

On peut utiliser la fonction escapeHTML() de prototype

Utiliser Prototype pour échapper un caractère

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'username='+encodeURIComponent(this.value);

[Zartan]

Ce n'était pas la bonne fonction...

Ceci dit:

Utiliser Prototype pour échapper un caractère

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'username='+encodeURIComponent(this.value);

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
String.prototype.escapeHTML = function(suffix) {
    return this.replace(/&/g,'&amp;').replace(/</g,'&lt;').replace(/>/g,'&gt;');
}

On peut utiliser une fonction sans utiliser toute la bibliothèque.