Couik
 81 
|  Posté : 02-08-2007 10:41
Bonjour,
Le module que je développe procède des formulaires de recherche...
aussi j'envoie $marecherche via post dans je cherche.php et $marecherche est utilisé dans un select.
Evidemment se pose la question de la sécurité...
J'ai trouvé ceci à la ligne 26 du fichier search.php
$query = removeHack(stripslashes(htmlspecialchars($query, ENT_QUOTES))); // electrobug
la variable $query est envoyée via post...
cette méthode est-elle utilisable telle quelle (hormis le nom de la variable bien sur...) ou dois-je inclure autre chose ?
Après un teste simple, j'ai saisie < b>un exemple dans la recherche en question ; l'ai envoyé via post un autre fichier.php.
J'ai eu un beau "un exemple" en gras... d'où mon inquiétude si je l'utilise irresponsablement (ce ne sais pas si ce mot existe, mais je le trouve beau...  ) directement dans un select...
Question subsidiaire :
Quand j'aurais fini le module, quelle est la procédure à suivre pour qu'elle soit validée (j'espère...) ou fasse l'objet de remarque, recommandations ?
Merci
Cordialement
Couik
Message édité par : Couik / 02-08-2007 10:45 |
