le 16/11/2006 à 22:12
Bzh
"Mais entendre que <> c'est plus dangereux que [] c'est n'importe quoi, car ce sont juste des caractères différents."
Oui, je comprends ce que tu veux dire !
Seulement, en remplaçant <> par [] permet de passer par UNE SEULE fonction htmlentities() qui assure de FERMER cette faille ! D'ou l'idée de sécurité positive. On bloque la faille puis ensuite, on regex comme souhaité...
On est sur de ne pas avoir de surprises.
htmlentities() est la fonction la plus sur pour se proteger...
Maintenant, c'est comme les gouts et les couleurs... Chacun ses habitudes...
Oui, je comprends ce que tu veux dire !
Seulement, en remplaçant <> par [] permet de passer par UNE SEULE fonction htmlentities() qui assure de FERMER cette faille ! D'ou l'idée de sécurité positive. On bloque la faille puis ensuite, on regex comme souhaité...
On est sur de ne pas avoir de surprises.
htmlentities() est la fonction la plus sur pour se proteger...
Maintenant, c'est comme les gouts et les couleurs... Chacun ses habitudes...
