Section LANGAGES. Le 29-03-2024, il est 02:19
Pourquoi les formulaires ne sont pas sûrs ...
La faille XSS (pour cross-site scripting) est vieille comme le Web :-° et on la trouve encore sur de nombreux sites, même sur des sites web professionnels ! C'est une technique qui consiste à injecter du code HTML contenant du Javascript dans vos pages pour le faire exécuter à vos visiteurs.
Je sais comment tu t'appelles, hé hé. Tu t'appelles ! <script type="text/javascript">alert('Badaboum')</script> !
Pour échapper le code HTML, utiliser la fonction htmlspecialchars qui va transformer les chevrons des balises HTML <> en < et > respectivement. Cela provoquera l'affichage de la balise plutôt que son exécution.
Je sais comment tu t'appelles, hé hé. Tu t'appelles <?php echo htmlspecialchars($_POST['prenom']); ?> !
Le code HTML qui en résultera sera propre et protégé car les balises HTML insérées par le visiteur auront été échappées :
Je sais comment tu t'appelles, hé hé. Tu t'appelles <strong>Badaboum</strong> !