[Javascript] Envoyer en GET (via ajax) un tableau de valeurs à PHP

[KyleK]

Tout à fait, je corrige donc mon post pour ne pas laisser du code dangereux.

Note : si la donnée d'entrée peut contenir O: à l'intérieur de chaînes par exemple, un système d'échappement peut être mis en place :
Côté JavaScript : remplacer tous les \ par \\ puis remplacer O: par O\: dans les chaînes.
Côté PHP : remplacer O\: par O: puis \\ par \ dans les chaînes.

Mais effectivement json_encode et json_decode sont bien plus adaptées et sortent un chaîne plus compacte.

Par contre, utiliser JSON n'empêche pas de devoir contrôler les données délinéarisées car là aussi, le résultat si l'utilisateur met n'importe quoi peut être pas très heureux.

[Xenos]

Recommandation OWASP: Whitelist, à privilégier de manière générale à tout système blacklist (qui est ce que tu proposes).
Car là, tu ne détecte que les objets, mais peut-être pourrait-on passer une fonction, ou un tableau récursif très lourd (je ne sais plus le nom de la technique... l'idée de base est de créer une instruction courte générant une quantité énorme de données, par exemple, créer une chaine de caractères de 4Go composés de la même lettre, "a" par exemple, et la compresser, ce qui en fait une commande très courte, qui crée une quantité énorme de données une fois dézippée).

Quelqu'un aurait-il les "spécifications" du format de données sérializées par PHP?