Cours de

...

sécurité accéléré no. 3 - XSS

Cet article a été écrit par Damien Metzger, et publié sur le blog de PrestaShop le 26 septembre 2011.

...

On peut bien évidemment faire bien plus en JavaScript qu'un message d'alerte : redirection vers un autre site, vol de cookies...

Comment s'en protéger ?

Ce n'est pas très compliqué : tout ce qui apparaît dans vos pages HTML doit être protégé avec une fonction comme htmlspecialchars() ou htmlentities(). Selon les cas, vous pourrez également être amené à utiliser des fonctions complémentaires telles que strip_tags() qui enlève toutes les balises HTML d'une chaine de caractères, ou encore un simple addslashes() si vous faites du JavaScript.

...