Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
codeur:module:securite:securisation-xss [2008/06/09 23:00] hotfirenet créée |
codeur:module:securite:securisation-xss [2008/06/09 23:35] (Version actuelle) hotfirenet |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ===== Sécurisation des variables contre une XSS ===== | + | ====== Sécurisation des variables contre une XSS ====== |
| La variable importée est une valeur numérique : | La variable importée est une valeur numérique : | ||
| - | **ENTIER =>** settype($variable, "integer"); | + | **ENTIER =>** <code php>settype($variable, "integer");</code>; |
| - | **REEL =>** settype($variable, "double"); | + | **REEL =>** <code php>settype($variable, "double");</code>; |
| Cette instruction très simple aura comme effet de trans-typer $variable … donc de transformer une injection XSS (ou autre) en un entier, un réel, … et donc de lui faire perdre son utilité. | Cette instruction très simple aura comme effet de trans-typer $variable … donc de transformer une injection XSS (ou autre) en un entier, un réel, … et donc de lui faire perdre son utilité. | ||
| Ligne 13: | Ligne 13: | ||
| Il n’y a malheureusement pas de solution simple mais si $search est notre variable, alors : | Il n’y a malheureusement pas de solution simple mais si $search est notre variable, alors : | ||
| - | $search=removeHack(stripslashes(htmlentities(urldecode($search), ENT_NOQUOTES))); | + | <code php>$search=removeHack(stripslashes(htmlentities(urldecode($search), ENT_NOQUOTES)));</code>; |
| va faire le nécessaire | va faire le nécessaire | ||
| Ligne 19: | Ligne 19: | ||
| Dans ce cas removeHack fera le minimum et la ligne : | Dans ce cas removeHack fera le minimum et la ligne : | ||
| - | $search=removeHack($search); | + | <code php>$search=removeHack($search);</code>; |
| permet de s’assurer une relative tranquillité | permet de s’assurer une relative tranquillité | ||