Sécuriser une variable à l'affichage

Version imprimable

Bonjour à toutes et à tous,

Après avoir parcourus énormément de site et de forum, la réponse à ma question est toujours différentes suivant la communauté interrogé et j'ai donc décidé de poser directement ma question ici afin de trouver enfin une réponse clair et concise à mon problème ^^

Mon projet est basé sur une architecture MVC. Donc d'une manière très simplifié voici comment je récupère et j'affiche les données de ma base de données.

Formulaire :

Code:

<input type='text' name='id_toto' />

Controllers :

Code:

$id_client = addslashes($_POST['id_toto'])

Models :
Code:

1 2 3 4 5 6 7 8 9 10 public function getInfoClient($id_client){ $requete = $this->getDb()->prepare(" SELECT * FROM client WHERE id = :id "); $requete->bindValue(':id', $id_client); $requete->execute(); return $requete->fetch(PDO::FETCH_ASSOC); }
Controllers :

Code:

$donnees_client = getInfoClient($id_client)

Donc ma variable $donnees contient la valeur de retour de ma fonction getInfoClient mentionné dans le model plus haut.

Ensuite j'envoie ces données à ma vue.

Vue :

Voici les informations du client :

Code:

echo $donnees; //Oui c'est un tableau je peux pas faire de echo mais c'est juste pour le principe de comprendre ^^

Donc mon problème vient de mon echo $donnees.

Dois-je faire :
Code:

1 2 3 - echo $donnees - echo htmlentities(stripslashes($donnees), ENT_QUOTES, "UTF-8"); // Déjà essayé mais du coup au lieu de m'afficher les caractères proprement ça me met &45f; etc.... ^^ hôtel devient h&;4gtel par exemple - echo htmlspecialchar($donnees)
Le fait de mettre addslashes lors de la recupération de mon formulaire est utile?
Je me pose toutes ces questions car par exemple, si dans mon formulaire un mec met dans l'input => '<script>alert('Cool je fais une alerte en plein milieu de ta page')</script>' au lieu d'écrire son nom et que moi je fais un echo de tout ça, je vais avoir une jolie alert dans ma page...

Voilà mon problème je ne sais pas trop où et à quel moment sécuriser tel ou tel choses.

Merci beaucoup :)

07/01/2015, 19h49
sabotage

Le addslashes() et stripslashes() ne sont pas utiles ici.
htmlentities va convertir tout ce qui peut l'être. htmlspecialchars est suffisant et ne traite que les caractères ayant une signification en HTML.

Le fait que les entités s'affichent tel quel sur ta page pourrait signifier que les données que tu affiches sont déjà converties, tu n'aurais pas un htmlentities au moment de l'insertion dans la base de données ?

Si tu veux, tu peux utiliser striptags aussi pour nettoyer ta chaine.
08/01/2015, 00h08
Tsilefy

Pour ajouter ce que dit Sabotage, le principe de base est de n'échapper les données qu'au tout dernier moment, et en fonction du contexte. La raison est qu'on échappe différemment un texte selon qu'il est destiné à être utilisé dans une base de données, affiché en tant que HTML, en tant que Javascript, etc ...

Dans ton cas, lorsqu'on utilise une requête préparée, on n'a plus besoin d'échapper les données. À l'inverse, puisque tu sais que la valeur doit être un int, tu dois vérifier cette valeur en utilisant is_numeric, filter_var ou bindParam.
09/01/2015, 12h08
MimiWoOlf

En effet j'avais un htmlentities au moment de l'insertion en BDD merci :)

Du coup je met juste un htmlspecialchars et pour le moment tout ce passe bien je vous remercie.

Je reviendrais avec un autre post plus poussé si besoin :)

Merci !