Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
codeur:module:securite:securisation-xss [2008/06/09 23:00] hotfirenet créée |
codeur:module:securite:securisation-xss [2008/06/09 23:35] (Version actuelle) hotfirenet |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ===== Sécurisation des variables contre une XSS ===== | + | ====== Sécurisation des variables contre une XSS ====== |
La variable importée est une valeur numérique : | La variable importée est une valeur numérique : | ||
- | **ENTIER =>** settype($variable, "integer"); | + | **ENTIER =>** <code php>settype($variable, "integer");</code> |
- | **REEL =>** settype($variable, "double"); | + | **REEL =>** <code php>settype($variable, "double");</code> |
Cette instruction très simple aura comme effet de trans-typer $variable … donc de transformer une injection XSS (ou autre) en un entier, un réel, … et donc de lui faire perdre son utilité. | Cette instruction très simple aura comme effet de trans-typer $variable … donc de transformer une injection XSS (ou autre) en un entier, un réel, … et donc de lui faire perdre son utilité. | ||
Ligne 13: | Ligne 13: | ||
Il n’y a malheureusement pas de solution simple mais si $search est notre variable, alors : | Il n’y a malheureusement pas de solution simple mais si $search est notre variable, alors : | ||
- | $search=removeHack(stripslashes(htmlentities(urldecode($search), ENT_NOQUOTES))); | + | <code php>$search=removeHack(stripslashes(htmlentities(urldecode($search), ENT_NOQUOTES)));</code> |
va faire le nécessaire | va faire le nécessaire | ||
Ligne 19: | Ligne 19: | ||
Dans ce cas removeHack fera le minimum et la ligne : | Dans ce cas removeHack fera le minimum et la ligne : | ||
- | $search=removeHack($search); | + | <code php>$search=removeHack($search);</code> |
permet de s’assurer une relative tranquillité | permet de s’assurer une relative tranquillité |