Bonjour.
Merci pour ces infos.
Pour moi c'est résolu.

filter_var($_POST['username'], FILTER_SANITIZE_STRING)

Bonjour,

La meilleure façon est de filtrer toutes les données en entrées que tu ne contrôle pas car sont renvoyées par l'utilisateur ou son navigateur (soit $_GET, $_POST, $_SESSION, $_COOKIE).
PHP a une fonction très facile pour faire cela : filter_var()

[php]filter_var($_POST['username'], FILTER_SANITIZE_STRING)[/php]Avec ça tu es sûr de ne pas avoir de XSS

Doc de la fonction filter_var() :
http://php.net/manual/en/function.filter-var.php

Liste des filtres possibles :
http://php.net/manual/en/filter.filters.sanitize.php

tu rentres <b>test</b> et tu regardes si dans la page, cela affiche [b]test[/b] en gras ou <b>test</b>

Bonjour,
comment savoir si un code
htmlspecialchars(trim($_POST['username']
est fonctionnel?
Comment faire pour créer une injection XSS et voir l'efficacité de la sécurité mise en place. :?: