====== Sécurisation des variables contre une XSS ======
La variable importée est une valeur numérique :
**ENTIER =>** settype($variable, "integer");
**REEL =>** settype($variable, "double");
Cette instruction très simple aura comme effet de trans-typer $variable … donc de transformer une injection XSS (ou autre) en un entier, un réel, … et donc de lui faire perdre son utilité.
**La variable importée est une valeur chaîne de caractères :**
Il n’y a malheureusement pas de solution simple mais si $search est notre variable, alors :
$search=removeHack(stripslashes(htmlentities(urldecode($search), ENT_NOQUOTES)));
va faire le nécessaire
La variable est une chaîne mais la ligne du dessus transforme trop le résultat :
Dans ce cas removeHack fera le minimum et la ligne :
$search=removeHack($search);
permet de s’assurer une relative tranquillité