Sur un coin de table ...

Sécuriser ses formulaires : GET POST et REQUEST

Par Aurelien Morillon, jeudi 13 novembre 2008 :: Monter son site web :: #25 :: rss

Aujourd'hui, un scammer polonais ayant abusé de la vodka a voulu se faire plaisir en injectant du JS dans un des sites que je m'apprête à lancer ... Ça m'a rappelé que j'ai un script PHP bien pratique qui permet de se prémunir de ce genre de cochonnerie :

C'est pas nouveau mais c'est toujours utile. Le but est s'assurer qu'aucune balise HTML ne soit passée en GET ou en POST.

Mode parano - on : On refait une boucle sur REQUEST pour être sûr :)

D'accord ? Pas d'accord ? Ajoutez un commentaire

1. Le mardi 6 janvier 2009 à 18:27, par seebz (*)

Salut,
array_map() t'aurait donné une fonction un peu plus clean :

function secureReceiptData() {
$_POST = array_map('strip_tags', $_POST);
$_GET = array_map('strip_tags', $_GET);
$_REQUEST = array_map('strip_tags', $_REQUEST);
}

$_REQUEST est à déconseiller et il ne faut pas oublier que $_COOKIE peut être modifié par le client :s

2. Le mardi 6 janvier 2009 à 18:35, par Aurélien (*)

En effet, c'est plus clean, merci :-)

+1 pour COOKIE et REQUEST, il est préférable de bien contrôler la méthode utilisée pour le passage des variables.

Cependant, REQUEST m'a été bien pratique pour un script whois maison, initialement en POST, que j'ai voulu ouvrir en bookmarklet : Je n'ai pas eu besoin de modifier tous les scripts l'utilisant déjà.

A utiliser avec précaution et parcimonie ..

Sur un coin de table ...

Sécuriser ses formulaires : GET POST et REQUEST

D'accord ? Pas d'accord ? Ajoutez un commentaire

Ajouter un commentaire

Rechercher

Catégories

Derniers Commentaires

Les + commentés

Archives

Liens

Les blogs à lire

Syndication