Se rappeler que la sécurité de PHP est une chose POSÉE. Il n'y a pas une seule difficulté simple qui met la sécurité en marche et les serrures il vers le bas fortement.
Généralement les sessions sont bloquées à moins que vous laissiez un trou ailleurs. Les attaques de XSS fonctionnent dans le PHP quand vous laissez le Javascript obtenir signalé dans un champ d'entrée de HTML ainsi ceci
…
écho $_POST [« huées »] ;
est peu sûr parce que je pourrais entrer tandis que ceci
…
strip_tags d'écho ($_POST [« huées »
]) ;
est plus bloqué parce qu'il élimine le Javascript du stream d'entrée. Le PHP peut vous a mordu sur le bon à rien des manières étonnantes, par exemple la rangée entière de $_SERVER est injectable par Javascript et $_REQUEST facilement est aussi bien manoeuvré. Tellement jamais, faire jamais
$aaa = $_SERVER [« PHP_SELF »] ;
toujours
$aaa = strip_tags ($_SERVER [« PHP_SELF
»]) ;
En outre, lire vers le haut sur les mécanismes de FILTRE dans PHP 5.2+
http://www.php.net/filter_var
