Discussion :

[nasuu]

Bonjour, j'aimerais connaitre votre avis concernant la sécurité d'une page php lors de l'include d'un fichier.

La question :
Lors de la création d'un fichier est il suffisant d'ajouter un remplacement des caractères < et > par &lt et &gt; Pour ensuite inclure ce fichier dans une page PHP.
Je sais par exemple qu'au niveau de la requête Mysql un simple addslashes ne suffit absolument pas, car on peut jouer sur le jeu de caractères. Est-il le cas sur ses symboles.

Un exemple :
Il y a deux pages actualite.php et actu-1.html. Le fichier actualité va générer le fichier actu-1.htlm (qui sera en réalité le cache de la page de cette actualité).
Si la page actu-1.htlm est d'actualité, la page actualite.php va l'inclure.

Lorsqu'un utilisateur va ajouter un commentaire sous cette actualité, la page actualite.php va mettre en cache la nouvelle page puis l'inclure.
Mais l'utilisateur peux mettre comme commentaire : « je tente un hack <?php echo "test"; ?> » sans protection,
on verra apparaitre : « je tente un hack test ».

Si je remplace les symboles < et > par &lt et &gt;, ceci est il une sécurité complètement suffisante ou nom.

PS : J'utilise une include car cette même page de cache contient un script PHP à exécuter (affichage du pseudo du membre si il est connecter par exemple). Je préfère éviter de séparer le code en deux page pour le côté pratique et les ressource du serveur.

[sabotage]

Tu as des fonctions comme striptags() et htmlspecialchars() qui oeuvrent dans ce sens.

[nasuu]

Merci, htmlspecialchars me semble superflu, car je ne souhaite pas modifier les guillemets.
Je voulais être sûr qu'avec un simple str_replace par exemple se serait suffisant.
Ou connaitre une fonction sûre

[nox77]

sinon tu t'assure que ton fichier existe avec file_exists()