Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

[RESOLU] htmlspecialchars

https://forum.phpfrance.com/viewtopic.php?f=8&t=273039

Page 1 sur 1

htmlspecialchars

Posté : 07 févr. 2015, 19:01
par Max2000
Bonjour,
comment savoir si un code
htmlspecialchars(trim($_POST['username']
est fonctionnel?
Comment faire pour créer une injection XSS et voir l'efficacité de la sécurité mise en place. :?:

Re: htmlspecialchars

Posté : 07 févr. 2015, 19:26
par tof73
tu rentres <b>test</b> et tu regardes si dans la page, cela affiche test en gras ou <b>test</b>

Re: htmlspecialchars

Posté : 07 févr. 2015, 20:30
par @rthur
Bonjour,

La meilleure façon est de filtrer toutes les données en entrées que tu ne contrôle pas car sont renvoyées par l'utilisateur ou son navigateur (soit $_GET, $_POST, $_SESSION, $_COOKIE).
PHP a une fonction très facile pour faire cela : filter_var()
filter_var($_POST['username'], FILTER_SANITIZE_STRING)
Avec ça tu es sûr de ne pas avoir de XSS

Doc de la fonction filter_var() :
http://php.net/manual/en/function.filter-var.php

Liste des filtres possibles :
http://php.net/manual/en/filter.filters.sanitize.php

Re: htmlspecialchars

Posté : 11 févr. 2015, 11:05
par Max2000
Bonjour.
Merci pour ces infos.
Pour moi c'est résolu.
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/