Bonjour, j'ai un léger problème, enfin je sais pas si c'est vraiment un gros problème mais voilà :
J'ai un code php qui permet d'afficher un texte à partir d'une requête sql
Ce texte a été soumis avant à des fonctions de protection :
Code :
- // submit du texte depuis un formulaire
- // protection puis insertion en BDD
- $texte = addslashes(htmlentities(nl2br($_POST['texte'])));
|
Jusque là, aucun problème, sauf que si dans mon champ je submit par exemple :
Code :
- <img style=visibility:hidden; src=url onload=test='test';alert(unescape(test));>
|
Et bien j'ai une alerte javascript qui s'affiche sur ma page, ou je récupère le texte
Je pourrais très bien effectuer un str_replace lors de la soumission en BDD, mais y a t-il une fonction qui permet de retirer les ">" "<" par exemple ? pour éviter toute tentative d'attaque XSS ?
Merci
Message édité par Blair witch le 13-03-2009 à 17:11:42