27-04-2010, 11:37 AM
Oui, mais les failles XSS se neutralisent à l'affichage. S'il ne fallait retenir qu'une chose :
Là où il y a un echo, il doit y avoir un htmlentities.
En faisant ça systématiquement, tu es sûr de n'avoir aucun problème.
Après, tu peux ne pas le faire quand tu affiches des données sûres.
N'oublions pas que les failles XSS sont exploitables à partir du moment où un seul petit élément de texte saisi par l'utilisateur est affichè sans utilisation de htmlentities (ou équivalent)
Sephi-Chan
Là où il y a un echo, il doit y avoir un htmlentities.
En faisant ça systématiquement, tu es sûr de n'avoir aucun problème.
Après, tu peux ne pas le faire quand tu affiches des données sûres.
N'oublions pas que les failles XSS sont exploitables à partir du moment où un seul petit élément de texte saisi par l'utilisateur est affichè sans utilisation de htmlentities (ou équivalent)
Sephi-Chan