XSS ?
Autrement dit il s’agit de « cross-site scripting ». Une grosse faille de sécurité dans la programmation de site web. Le principe : injecter de données qui vont être executer.
Exemple :
En appelant l’URL suivante :
Vous obtenez :
Pour s’en prémunir ?
Il existe plusieurs types de faille XSS. L’exemple ci-dessous est sans doute l’erreur la plus flagrante : ne pas vérifier ces variables reçus en GET. Il faut également rester vigileant sur les variables envoyés par un formulaire, surtout si celles-ci vont servir dans une requête SQL.
Liens :
À lire pour en savoir un peu plus sur la sécurité et le développement Web, en particulier avec PHP (et c’est en français) : « PHP Security Guide » http://phpsec.org/projects/guide/
Hello
Tu ne réponds pas à ta propre question « Pour s’en prémunir ? »
Si vous êtes sous WordPress vous pouvez utiliser les fonctions esc_* (comme esc_html ou esc_attr ou encore esc_js et esc_url_raw pour ne citer qu’elles)
Si vous n’êtes pas sous WordPress, utiliser « filter_var() » (voir doc PHP.net) qui permet et filter et valider des variables, N’utilisez PAS « htmlentities() » qui est trop insuffisante.
A bientôt !