Sécuriser un formulaire avec une fonction dans une boucle ?

**renaud26** · 21/01/2010, 15h54

Bonjour à tous,

Lorsque un formulaire est long et comporte de nombreux champs, peut-on remplacer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$nom = htmlspecialchars($_POST['nom']);
$prenom = htmlspecialchars($_POST['prenom']);
etc...

par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
$clean = array();
 
foreach($_POST as $data){
$datas = htmlspecialchars($data); // ou autre fonction de nettoyage
$clean[] = $datas;
}
et ensuite exploiter le tableau clean comme on le ferait de $_POST.

Et par ailleurs, quelle fonction employez-vous le plus volontiers pour sécuriser les données ? mysql_real_escape_string, htmlspecialchars, strip_tags...ou une combinaison ?

J'ai lu toutes sortes de possibilités sur les tutos / forums...

Merci de vos lumières.

**nosferapti** · 21/01/2010, 17h11

la fonction "htmlspecialchars" suffit largement pour afficher du code XHTML
par contre rajoute les 2e et 3e arguments pour prendre en compte l'encodage :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlspecialchars($variable, ENT_COMPAT, 'UTF-8');

et pour la boucle il n'y a pas de problème, ça rendra ton code plus clair

**Thes32** · 21/01/2010, 17h18

Tu as la fonction array_map

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_POST = array_map(htmlspecialchars,$_POST);

**renaud26** · 21/01/2010, 17h23

Merci à vous. Oui effectivement, array_map c'est impec et plus simple.
Cependant, j'ai des doutes (je deviens parano) que htmlspecialchars soit suffisant pour éviter les attaques...

Sur un de mes sites, j'ai vu toutes les pages nommées "index" et les pages HTML avec du javascript par kilomètres contenant des liens vers des sites de fesse russes. Les pirates seraient rentrés par les formulaires ?

**Thes32** · 21/01/2010, 17h42

Envoyé par renaud26

Sur un de mes sites, j'ai vu toutes les pages nommées "index" et les pages HTML avec du javascript par kilomètres contenant des liens vers des sites de fesse russes. Les pirates seraient rentrés par les formulaires ?

Difficile de déterminer l'origine, tu dois bien profiler tous les aspects : scripting, accès ftp, etc.

**renaud26** · 21/01/2010, 17h45

Envoyé par Thes32

Difficile de déterminer l'origine, tu dois bien profiler tous les aspects : scripting, accès ftp, etc.

Mouais....ben je suis pas prêt de ne plus être parano... connais-tu un tuto / article complet qui rassemblerait ces types d'attaques et leurs parades ?

**Thes32** · 21/01/2010, 18h02

Développement web : Généralités sur la sécurité
Astuces de sécurité en PHP

Bonne lecture !

**renaud26** · 21/01/2010, 19h42

Je te remercie beaucoup.
Passe une bonne soirée.

Sécuriser un formulaire avec une fonction dans une boucle ? [PHP 5.0]

Langage PHP

Discussions similaires

Partager

Partager