Cours de
...
sécurité accéléré no. 3 - XSS
Cet article a été écrit par Damien Metzger, et publié sur le blog de PrestaShop le 26 septembre 2011.
...
On peut bien évidemment faire bien plus en JavaScript qu'un message d'alerte : redirection vers un autre site, vol de cookies...
Comment s'en protéger ?
Ce n'est pas très compliqué : tout ce qui apparaît dans vos pages HTML doit être protégé avec une fonction comme htmlspecialchars() ou htmlentities(). Selon les cas, vous pourrez également être amené à utiliser des fonctions complémentaires telles que strip_tags() qui enlève toutes les balises HTML d'une chaine de caractères, ou encore un simple addslashes() si vous faites du JavaScript.
...