Discussion :

[LeHibou2]

Bonjour à tous,

J'ai pas mal bûché aujourd'hui sur les cours de sécurité php avant de me mettre à l'ajax.

Outre le fait que je crois qu'il est totalement inutile de faire un filtre javascript pour les données envoyée au serveur (amis pirates), je me pose une question à laquelle je n'ai toujours pas réponse malgré les nombreux googling.

Ci après :

Mon serveur, mon code, tout est en UTF8. dans ces conditions, htmlentities sert-il encore à quelque chose ?

en effet :
Avec un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

www.test.fr/?client=Cyril<script>monscript</script>

Et dans ma page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<p><?php echo htmlentities($_GET['client'],ENT_COMPAT,UTF-8);?></p>

J'obtiens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Cyril<script>monscript</script>

Ca veut dire quoi ? htmlentities a-t'il rendu inoffensif le script potentiel ou pas du tout ?

Merci à vous,

A bientôt,

LeHibou2

[grunk]

Regarde la source tu verras que ce n'est plus <script> mais &lt;script&gt; donc du code inoffensif.

UTF8 n'a rien à voir dans une quelconque sécurité.

[LeHibou2]

Je pense me répondre :

Si j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
www.test.fr/?client=Cyril<input type="text" AUTOFOCUS onfocus=alert(1)>

alors le htmlentities affiche

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"Cyril<input type="text" AUTOFOCUS onfocus=alert(1)>"

Sans lui, le code est exécuté.

Ce que je fais donc, puisque je ne veux pas de signes c'est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities(strip_tags($bla),ENT_COMPAT,UTF8);

Avec éventuellement des str_replace en amont.

On peut me confirmer qu'il n'y a plus de soucis ?

A bientôt,

LeHibou

[ABCIWEB]

htmlentities, comme te l'a expliqué grunk, permet de rendre le code inoffensif, mais permet néanmoins d'afficher tout le texte rentré.

Si tu utilises "strip_tags" les tags sont supprimés et non pas rendus inoffensifs, donc l'inconvénient est que jamais tu ne pourras les afficher.

Pour cette raison, on emploi rarement "strip_tags" pour régler des problèmes de sécurité. Les fonctions dédiées pour protéger tes variables à l'affichage sont htmlentities et htmlspecialchars. Et pour la petite histoire on utilise souvent htmlspecialchars, parce que d'une part c'est suffisant au niveau de la sécurité, et d'autre part parce qu' on a pas besoin de spécifier l'encodage avec l'utf-8 (ce qui fait du code un peu moins lourd).

[LeHibou2]

Merci à vous deux !

Je n'avais pas vu la réponse de grunk

Je vais changer mes strip_tags en htmlentities(strip_tags
Merci encore,


A bientôt,

LeHibou2

[Seb33300]

le 3em parametre de htmlentities doit etre un string et je te conseillerais également d'utiliser le mode ENT_QUOTES :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($txt, ENT_QUOTES, 'UTF-8')

[LeHibou2]

Bien noté,

Merci beaucoup !

A bientôt,