|
|
|
 |
Vous êtes ici 
Articles Nettoyer vos entrées non sécurisées en sortie
Du coté PHP
Information sur l'article
Ecrit par phpSources
Date d'enregistrement de l'article le 30 Nov 2008
Impression: Imprimer l'article
Nettoyer vos entrées non sécurisées en sortie
Il est bien connu, que toutes les entrées non sécurisées (en particulier les entrées utilisateur, à partir de formulaires) doivent être nettoyées avant leurs sorties.
|
.01 .02 .03 .04 |
<?php
echo $_GET['username'];
?>
|
Peut par exemple donner en sortie:
|
.01 .02 |
<script>/*snoop cookie change admin password script php*/</script>
|
Il s'agit là d'un risque bien apparent pour la sécurité de ne pas nettoyées les données douteuses avant leur sortie. De plus, vous pouvez vous retrouver avec des pages en grand désordre si vous n'enchaînez pas les entrées utilisateur de la bonne façon.
Comment faire pour résoudre ce problème:
En principe, vous devez convertir < , >, ' et " en leurs propres entités (< , > ' , et ") . Les fonctions htmlspecialchars et htmlentities font ce travail.
Voici la bonne façon de faire:
|
.01 .02 .03 .04 |
<?php
echo htmlspecialchars($_GET['username'], ENT_QUOTES);
?>
|
D'innombrables scripts contiennent ce problème.
Commentaire (1)
 |
Invitéle 04 Déc 2008 à 10:56:00 |
super 
Poster un commentaire
Offres d'emploi
En PHP et MySQL
developpeur php/mysql avec de tres bonnes competences en php5 aujourd'huistage - développeur php/mysql aujourd'hui
analyste base de donnees (h/f) aujourd'hui
1 analyste base de donnees (h/f) aujourd'hui
developpeur php/mysql (h/f) aujourd'hui
Déposer vos articles
Déposer vos articles
Nous accueillons avec plaisir les articles et les critiques de livres,
et nous encourageons les entreprises à contribuer avec les rapports d'industrie sur l'utilisation avantageuse de PHP.
Vous pouvez également soumettre des articles de journaux et les publications de la
presse professionnelle telles que les annonces de produits,
et nous serons heureux de les publier sur notre site.
Contactez-nous
