|
|
PRATIQUE PHP |
|
|
|
Une bibliothèque pour nettoyer ses chaînes |
|
Un ensemble de fonctions Open Source permet de s'assurer que les données entrées par l'utilisateur sont traitables en toute sécurité.
(01/07/2005) |
|
|
Forum |
|
Réagissez
dans les forums
de JDN Développeurs
|
C'est bien connu : l'enfer, c'est les autres. En conséquence
de quoi, les formulaires en ligne se doivent d'être très surveillés
: toute donnée entrée par l'utilisateur doit obligatoirement
être vérifiée, validée, parfois même convertie pour s'assurer
qu'elle ne viendra pas corrompre le système patiemment mis en
place par le développeur.
S'assurer
qu'un formulaire répond correctement à tous les dangers en matière
de sécurité, d'injection de script et de tentative de prise
de contrôle relève parfois de la gageure paranoïaque. Et c'est
de cette nécessaire paranoïa que le groupement OWASP
(pour Open Web Application Security Project) propose en téléchargement
la bibliothèque Open Source PHP
Filters.
Celle-ci regroupe une poignée de fonctions chargées de nettoyer
les données afin de s'en assurer un traitement sûr. Quatre de
ces fonctions sont spécialement dédiées aux chaînes.
- sanitize_paranoid_string($chaine)
: ne conserve que les caractères alphanumériques,
- sanitize_system_string($chaine)
: retire les caractères spéciaux,
- sanitize_sql_string($chaine) :
ajoute un "slash" aux guillemets,
- sanitize_html_string($chaine)
: remplace les caractères spéciaux par leur équivalent HTML,
- sanitize_int($entier) : renvoi
le premier entier trouvé,
- sanitize_float($nombre) :
renvoi le premier nombre à virgule trouvé,
- sanitize($entree, $drapeau)
: applique le nettoyage spécifié à l'aide des drapeaux suivants
: PARANOID, SQL,
SYSTEM, HTML,
INT, FLOAT,
LDAP ou UTF8. |
|
|