Discussion :

[alonso]

Bonjour,

je voudrait savoir comment vous faitez pour stocker les champs d'un formulaire. On pourait appeler ça "bonnes pratiques"

mon doute c'est sourtout pour les caracteres qui peuvent "couper" la requette sql que je construit. ( ', \', \\\' ....).

Je m'explique :

moi, chaque champ je le fait passé par une moulinnette que j'ai develloppé, et avec la classe StringTokenizer je regarde s'il contient le caracteres sensible que j'ai identifier (example le site si dessus) et je transforme selon le cas. Apres se concatene tout c'est string
pour contruire ma requette.

Mais, cela me parait trop compliquer, et je me demendé s'il y a une autre façon de faire plus simple que ça.

Desolé pour l'ortographe.

bonjour d'espagne

Francisco Alonso

[mathk]

Dans la classe string il a des methode pour remplacer des carractères replaceAll...

Il faut aussi pas oublier le css

[alonso]

Il faut aussi pas oublier le css

Tu pourait elaborait juste un tout pettit peut plus cette frasse. Je vois pas du tout quesque tu veut dire avec ça.

Merci quand meme

[mathk]

Cross Site Scripting

il faut replacer le < et >

[alonso]

Je vois toujour pas, mais bon, il faut dire que je conait pas trop css.

ReplaceAll ça devrait le faire.

Grache mille

[mathk]

disons simplement que si tu ne remplace pas les < > tu peut avoir des vole de session

[alonso]

Salut. Tomcat fournit un example pour verifier le code qui est similaire au Html. Je pense que ça peut etre pratique pour mon doute.

###################################
/*
/**
* HTML filter utility.
*
* @author Craig R. McClanahan
* @author Tim Tye
* @version $Revision: 1.1 $ $Date: 2002/04/23 15:17:25 $
*/

package util;


public final class HTMLFilter {


/**
* Filter the specified message string for characters that are sensitive
* in HTML. This avoids potential attacks caused by including JavaScript
* codes in the request URL that is often reported in error messages.
*
* @param message The message string to be filtered
*/
public static String filter(String message) {

if (message == null)
return (null);

char content[] = new char[message.length()];
message.getChars(0, message.length(), content, 0);
StringBuffer result = new StringBuffer(content.length + 50);
for (int i = 0; i < content.length; i++) {
switch (content[i]) {
case '<':
result.append("&lt;");
break;
case '>':
result.append("&gt;");
break;
case '&':
result.append("&amp;");
break;
case '"':
result.append("&quot;");
break;
case ' ':
result.append("&nbsp;");
break;
case '\n':
result.append("<br>");
break;

default:
result.append(content[i]);
}
}
return (result.toString());

}


}
##############