faille dans ma protection xss

Version imprimable

31/01/2011, 15h10
sinifer

faille dans ma protection xss
bonjour,

j'ai ajouter une fonction de protection contre les injection sql et xss par contre quand je fais un rapport de test sur firefox il me mets comme quoi il y a possibilité de danger contre les xss.

Je récupère les données d'un post

Citation:

madSafety($_POST["prenom"]);

cette function est celle-ci
Code:

1 2 3 4 5 6 function madSafety($string){ $string = mysql_real_escape_string($string); $string = strip_tags($string); $string = htmlspecialchars ($string); return $string; }
ai-je oublié quelque chose ou je dois doit protégé ma variable avant la récupération du post??

Merci de votre aide.
31/01/2011, 16h27
stealth35

strip_tags et htmlspecialchars n'ont rien a faire la, c'est au moment de l'affichage qu'il faut le faire ;)
31/01/2011, 20h02
sabotage

Les injections XSS et les injections SQL sont deux sujets différents qu'il faut traiter séparement.
01/02/2011, 09h30
sinifer

Merci

Donc il faut que je fasse une protection à l'insertion et une autre à l'affichage.

et c'est à l'affichage que je dois mettre mon strip_tags et htmlspecialchars

et pour mon insertion je mets tous simplement mysql_real_escape_string

Merci de me dire si je suis dans le juste.

Cordialement,
01/02/2011, 09h52
sabotage

Moi je mettrais le strip_tags() à l'insertion : ça ne sert a rien de stocker des données dont on ne veut pas.
01/02/2011, 12h14
sinifer

mais pour l'affichage je mets quoi alors pour me protéger du xss?
01/02/2011, 13h26
stealth35

Citation:

Envoyé par sinifer

mais pour l'affichage je mets quoi alors pour me protéger du xss?

tu feras

Code:

echo htmlspecialchars($truc);
02/02/2011, 14h49
sinifer

Ok

Merci je vais testé