[SQL] Synthèse sur la sécurité des formulaires

Salut à tous,

J'ai lu avec intérêt les infos dans les posts relatifs aux formulaires et la FAQ PHP.

Mon cas, est le cas archi classique:
Formulaire HTML -> script PHP -> base MySQL 5
Et inversement lors de l'affichage des données:
base MySQL 5 -> script PHP -> page HTML.

De ce que j'ai compris, pour nettoyer les chaines issues d'un formulaire, on utilise le script php ainsi avant d'insérer dans la base:

Citation:

---

$nom=mysql_real_escape_string(trim($_POST['nom']));
....

---

Cela permet d'éviter les failles d'injection SQL.
Comment puis-je supprimer les balises HTML éventuelles tapées dans les formualires ?
Suis-je à l'abris des failles XSS ?

D'autres vulnérabilités possibles sur les formulaires ?

Merci

Salut

Tu n'as pas besoin de supprimer les balises HTML, puisque normalement tu utilises la fonction htmlentities() ou htmlspecialchars() au moment de l'affichage.
La faille XSS ne s'applique pas à l'enregistrement en BDD mais à l'affichage (cf. avertissement ci-dessus).
Appeler mysql_real_escape_string() est suffisant pour te protéger des attaques d'injection SQL si tu utilises une base MySQL. Je te recommande cependant d'utiliser une classe d'abstraction : PDO est bien plus efficace que mysql_real_escape_string(), dans la mesure où il permet d'éviter les injections SQL pour tous les types de BDD supportés.

Voici un tutoriel sommaire : Les formulaires et PHP5

A tout hazard : Guide de Sécurité PHP.
Ca vaut ce que ca vaut.

Pour reprendre ta remarque sur les affichage Yogui, tu veux dire que par ex pour afficher une donnée sur ma page HTML, ce code:

Citation:

---

L'utilisateur :<?php echo "$nom" ?>

---

doit être:

Citation:

---

L'utilisateur :<?php echo (htmlentities("$nom")) ?>

---

?

En utilisant les 2 paramètres optionnels de la fonction, c'est exactement ça.

Merci pour ces conseils éclairés:ccool: