Discussion :

[thibaud28]

Bonjour, je voulais juste avoir votre avis selon vous pour sécuriser ses scripts le mieux c'est quoi?
Mettre un mysql_real_escape_string() lors qu'un insert et un html_specialchars() lors de l'affichage
ou
mysql_real_escape_string(html_specialchars()) lors de l'insert et rien lors de l'affichage?
ou ... ?

Vous vous faites quoi?

Merci de vos conseils!

[sebhm]

mysql_real_escape_string suffit lors des requetes au niveau Sécurité.

Pour ce qui est de l'affichage, on n'est plus dans la sécurité, et pour ma part, j'utilise htmlentities

[sabotage]

Il est plus logique de stocker les données sous forme brute et de n'utiliser la conversion des caractères spéciaux qu'au moment de l'affichage.

Pour ce qui est de l'affichage, on n'est plus dans la sécurité

Si quelqu'un insère une redirection en javascript dans son texte, cela pose un problème de securité.

[sebhm]

Si quelqu'un insère une redirection en javascript dans son texte, cela pose un problème de securité.

c'est vrai
+1