09-01-2015, 03:34 PM
Je ne suis pas d'accord pour la sécurité info: cela finit toujours par passer si l'approche est blacklist. Si l'approche est whitelist, ce qui passera sera uniquement ce qui aura été explicitement autorisé (mais ce qui est autorisé est-il exhaustivement ce qu'on voulait autoriser?!).
Les failles arrivent ou bien de mauvaises whitelist (trop laxistes, comme /\d+/ est trop laxiste pour valider qu'une variable $phpVar est un nombre: 'adaz865iug8+ serait validée) ou bien de dépendances (/^[+-]?\d{1,3}$/ ne laisse passer que les entiers de -999 à +999 mais sa fiabilité repose sur la fiabilité de la fonction preg_* de PHP et sur le code source du fichier PHP exécuté).
Les failles arrivent ou bien de mauvaises whitelist (trop laxistes, comme /\d+/ est trop laxiste pour valider qu'une variable $phpVar est un nombre: 'adaz865iug8+ serait validée) ou bien de dépendances (/^[+-]?\d{1,3}$/ ne laisse passer que les entiers de -999 à +999 mais sa fiabilité repose sur la fiabilité de la fonction preg_* de PHP et sur le code source du fichier PHP exécuté).