Salut a tous !
Tout est dans le titre.
Merci
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
htmlspecialchars() et htmlentities() le quel pour eviter les attaques XSS ?
Salut a tous !
Tout est dans le titre.
Merci
La différence étant dans le traitement des caractères accentués, cela ne fait pas de différence.
Je viens de trouver ça dans la doc officielle et je ne sais pas si c'est correcte ...
http://www.php.net/manual/fr/functio...hars.php#89796
Traduction
une confusion fréquente chez les débutants, c'est que quelle est la différence entre htmlentities () et htmlspecialchars () vraiment, parce que le manuel sont des exemples de conversion chevrons pour les deux.
ainsi, htmlentities () va aussi chercher les caractères d'autres langues dans la chaîne de l'allemand, le français ou l'italien, etc Donc, si vous pensez que votre attaquant peut utiliser certains des caractères de langues étrangères pour une attaque XSS dans l'URL, etc utiliser htmlentities () au lieu de htmlspecialchars ().
Ce qui est écrit est vrai : s'il existait une attaque qui se base sur les caractères accentuées et n'avait besoin ni de chevrons ni de guillemets, il passerait à travers htmlspecialchars().
Je ne saurais pas te dire si un truc pareil existe ou non mais ca me parrait peu probable.
salut,
Un article intéressant bien qu'un peu vieux avec des expression régulières :
http://www.securityfocus.com/infocus/1768
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager