Index du Forum » » Le coin des codeurs

Auteur

Demande de confirmation sécurité...
Couik
81    

  Posté : 02-08-2007 10:41

Bonjour,

Le module que je développe procède des formulaires de recherche...
aussi j'envoie $marecherche via post dans je cherche.php et $marecherche est utilisé dans un select.

Evidemment se pose la question de la sécurité...

J'ai trouvé ceci à la ligne 26 du fichier search.php



$query = removeHack(stripslashes(htmlspecialchars($query, ENT_QUOTES))); // electrobug



la variable $query est envoyée via post...

cette méthode est-elle utilisable telle quelle (hormis le nom de la variable bien sur...) ou dois-je inclure autre chose ?

Après un teste simple, j'ai saisie < b>un exemple dans la recherche en question ; l'ai envoyé via post un autre fichier.php.

J'ai eu un beau "un exemple" en gras... d'où mon inquiétude si je l'utilise irresponsablement (ce ne sais pas si ce mot existe, mais je le trouve beau... ) directement dans un select...

Question subsidiaire :
Quand j'aurais fini le module, quelle est la procédure à suivre pour qu'elle soit validée (j'espère...) ou fasse l'objet de remarque, recommandations ?

Merci

Cordialement
Couik

Message édité par : Couik / 02-08-2007 10:45




Cet article provient de NPDS

http://www.npds.org/viewtopic.php?topic=22731&forum=5