Discussion :

[AyManoVic]

salut tout le monde
voila j'ai un script en php que j'essaie de developper
tout se passait bien jusqu'à avoir entendu d'une faille XSS que je comptais resolue
un pirate peut tirer nos cookies avec des codes javascripts
alors j'ai mis une fonction qui repose sur le Str_replace
mais le pirate et comme le php distinct les majiscules des miniscules
le pirate peut écrire JavAsCriPt au lieu de javascript et son code marche
n'ya t-il aucune solution à mon probleme ?

[nosferapti]

montre nous une exemple de faille avec le code qui produit cela

[sayari.dev]

Bonjour,

Tout d'abord, c'est à pas avec str_replace qu'on évite les failles (XSS ou autres). Il y a plusieurs techniques dédiées (str_replace seule ne suffit pas). Pour en savoir plus, c'est par ici.

Si quand même vous voulez passer par str_replace, utiliser str_ireplace à la place (Insensible à la casse).

Merci

[AyManoVic]

Bonjour,

Tout d'abord, c'est à pas avec str_replace qu'on évite les failles (XSS ou autres). Il y a plusieurs techniques dédiées (str_replace seule ne suffit pas). Pour en savoir plus, c'est par ici.

Si quand même vous voulez passer par str_replace, utiliser str_ireplace à la place (Insensible à la casse).

Merci

je vais essayer merci

[ThomasR]

http://fr.php.net/strip_tags me parait plus approprié.

[syl2095]

Bonjour,

il y a aussi http://fr.php.net/manual/fr/function...ecialchars.php

qui convertit les balises en entité html.

le strip_tags souffrirait parait-il de bugs dans le parse des balises.