Sécurité des données GET : filter_input_array

Version imprimable

23/06/2014, 10h18
t3__rrY

Sécurité des données GET : filter_input_array
Bonjour à tous,

je débute dans en sécurité et j'aurais voulu avoir votre avis sur la question suivante: la fonction PHP filter_input_array pour des données passées en GET est elle suffisante en terme de filtrage?
Voici la ligne correspondant au constructeur de mon dispatcher:
Code:

1 2 3 4 public function __construct() { $this->parameters = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); }
Qu'en pensez vous?

Merci d'avance pour le coup de pouce ;)
23/06/2014, 14h01
Celira

Citation:

Envoyé par php.net

FILTER_SANITIZE_STRING
Supprime les balises, et supprime ou encode les caractères spéciaux.

Donc en gros, ça fait strip_tags + htmlspecialchars, ce qui protège contre les injections de code javascript et autres joyeusetés du genre.

En revanche, pour les injections SQL, il faudra s'en occuper en niveau des requêtes.
23/06/2014, 14h17
t3__rrY

Donc ça fera l'affaire, j'ai vais regarder du côté des injections SQL pour sécuriser le terrain, merci pour le retour ;)

Fuseau horaire GMT +2. Il est actuellement 03h05.