Discussion :

[EvilAngel]

Salut à tous,

J'ai lu avec intérêt les infos dans les posts relatifs aux formulaires et la FAQ PHP.

Mon cas, est le cas archi classique:
Formulaire HTML -> script PHP -> base MySQL 5
Et inversement lors de l'affichage des données:
base MySQL 5 -> script PHP -> page HTML.

De ce que j'ai compris, pour nettoyer les chaines issues d'un formulaire, on utilise le script php ainsi avant d'insérer dans la base:

$nom=mysql_real_escape_string(trim($_POST['nom']));
....

Cela permet d'éviter les failles d'injection SQL.
Comment puis-je supprimer les balises HTML éventuelles tapées dans les formualires ?
Suis-je à l'abris des failles XSS ?

D'autres vulnérabilités possibles sur les formulaires ?

Merci

[Yogui]

Salut

Tu n'as pas besoin de supprimer les balises HTML, puisque normalement tu utilises la fonction htmlentities() ou htmlspecialchars() au moment de l'affichage.
La faille XSS ne s'applique pas à l'enregistrement en BDD mais à l'affichage (cf. avertissement ci-dessus).
Appeler mysql_real_escape_string() est suffisant pour te protéger des attaques d'injection SQL si tu utilises une base MySQL. Je te recommande cependant d'utiliser une classe d'abstraction : PDO est bien plus efficace que mysql_real_escape_string(), dans la mesure où il permet d'éviter les injections SQL pour tous les types de BDD supportés.

Voici un tutoriel sommaire : Les formulaires et PHP5

[thanaos]

A tout hazard : Guide de Sécurité PHP.
Ca vaut ce que ca vaut.

[EvilAngel]

Pour reprendre ta remarque sur les affichage Yogui, tu veux dire que par ex pour afficher une donnée sur ma page HTML, ce code:

L'utilisateur :<?php echo "$nom" ?>

doit être:

L'utilisateur :<?php echo (htmlentities("$nom")) ?>

?

[Yogui]

En utilisant les 2 paramètres optionnels de la fonction, c'est exactement ça.

[EvilAngel]

Merci pour ces conseils éclairés