Discussion :

[paragoge]

Dans le cours sur php (celui de Rossolini) il y a dans le fichier function.php
la function suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
function url_format($string)
{
    $string = str_replace(' ', '-', strtolower($string));
    return html(preg_replace('#[^a-z0-9-]#', '', $string));
}

Je comprends bien ce que fait cette function mais je ne vois pourquoi elle est appliquée à un id et à un title qui proviennent d'une table dans le fichier View/article/index.tpl

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo url_format($article['id'].'-'.$article['title']) ?>

Ces précautions sont-elles seulement là pour nous montrer comment on nettoie une variable externe utilisée dans un url ou bien y-a-t-il une autre raison de son utilisation ici? Autrement dit : comment pourrait-on "corrompre" ces index id et title, ou l'url complet (pour justifier ces précautions)?

[Eric2a]

Salut,

un peu de lecture Cross-site_scripting

[paragoge]

Merci! C'est exactement la réponse à ma question.

[paragoge]

...sauf que avec l'exemple donné

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.monsite.com/index.php?name=<script>alert(document.cookie)</script>

je passe bien à ma page test index.php mais l'alerte ne vient pas.