[AJAX] Sécurisation d'envoi de this.value? Parce qu'un "&" change les données

Bonjour tout le monde,

J'ai un petit souci d'AJAX. Je fais un pré-contrôle de champs lors d'un remplissage de formulaire, via ajax. dans le xhr.send, j'envoie les paramètres comme ceci : username='+this.value;

Je ne pense pas avoir besoin d'ajouter d'autre code là dedans, en fait mon souci étant que si la personne utilise un & dans son pseudo, et bien... Ca change l'envoi, tout simplement.

Pour un exemple, si le pseudo est hel&lo, la requête envoyée est username=hel&lo, donc analysée avec deux attributs de POST.
Quelqu'un aurait une idée sur comment empêcher ça?

Merci :)

EDIT: Il y a bien la fonction escape(), mais elle n'est pas proche de htmlspecialchars, elle met la chaine sous forme d'URL plus ou moins..

On peut utiliser la fonction escapeHTML() de prototype :

Code:

---

1 2 3 4 5 6 7

function test() { a = "h&ello" ; alert(a) ; alert( a.escapeHTML() ); }

---

Mais ça ne protègera pas d'une attaque,vu que l'attaquant pourra modifier le javascript.

Citation:

---

Envoyé par Zartan

On peut utiliser la fonction escapeHTML() de prototype

---

Utiliser Prototype pour échapper un caractère 8O

Code:

---

'username='+encodeURIComponent(this.value);

---

Ce n'était pas la bonne fonction...

Ceci dit:

Citation:

---

Envoyé par Bovino

Utiliser Prototype pour échapper un caractère 8O

Code:

---

'username='+encodeURIComponent(this.value);

---

---

Code:

---

1 2 3 4

String.prototype.escapeHTML = function(suffix) { return this.replace(/&/g,'&amp;').replace(/</g,'&lt;').replace(/>/g,'&gt;'); }

---

On peut utiliser une fonction sans utiliser toute la bibliothèque.