Htmlspécialchar
webmaster
-
avion-f16 Messages postés 19252 Date d'inscription Statut Contributeur Dernière intervention -
avion-f16 Messages postés 19252 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
j'ai un site et je me suis fais hacker. C'est un site au chacun peux y inséré du contenu. Le problème c'est que je me suis fais hacker parce qu'il n'y avais pas htmlspécialcahr . Ou inséré ça comment et a quel moment du script php.
Merci et bonne journée!
j'ai un site et je me suis fais hacker. C'est un site au chacun peux y inséré du contenu. Le problème c'est que je me suis fais hacker parce qu'il n'y avais pas htmlspécialcahr . Ou inséré ça comment et a quel moment du script php.
Merci et bonne journée!
2 réponses
bonsoir,
le plus simple et le plus efficace est de mettre tout au début du script le code suivant :
le plus simple et le plus efficace est de mettre tout au début du script le code suivant :
function secure($item) {
if(is_array($item)) {
foreach($item as $key => $value) {
if(is_array($value)) $item[$key] = secure($value);
else if(is_string($value)) $item[$key] = htmlentities($value);
else $item[$key] = $value;
}
return $item;
}
elseif(is_string($item)) return htmlentities($item);
else return $item;
}
if(isset($_POST)) $_POST = secure($_POST);
if(isset($_GET )) $_GET = secure($_GET);
if(isset($_COOKIE )) $_COOKIE = secure($_COOKIE);
Good bye
Messages postés
105
Date d'inscription
Statut
Membre
Dernière intervention
1
OK je vais tester!
Salut,
Que veux-tu dire par « hacké » ?
La faille XSS que tu tentes de contrer avec htmlspecialchars() ne permet que l'insertion de code HTML/CSS et JS qui sont inoffensifs (quoique avec du JS, le hackeur peut te faire faire des actions avec les privilèges que tu possèdes sur le site, mais pas plus : pas de contrôle du FTP, accès MySQL, etc).
Que veux-tu dire par « hacké » ?
La faille XSS que tu tentes de contrer avec htmlspecialchars() ne permet que l'insertion de code HTML/CSS et JS qui sont inoffensifs (quoique avec du JS, le hackeur peut te faire faire des actions avec les privilèges que tu possèdes sur le site, mais pas plus : pas de contrôle du FTP, accès MySQL, etc).
Alors il n'a pas vraiment « hacké » ton site, mais il a exploiter une faille qui pourrait faire plus (par exemple, rediriger tout tes visiteurs vers une page dangereuse, utiliser la faille CRSF, etc).
Il vaut mieux s'en protéger pour le bien de tes utilisateurs, pas réellement pour la protection même de ton site.
Il vaut mieux s'en protéger pour le bien de tes utilisateurs, pas réellement pour la protection même de ton site.