Caractères spéciaux, injection & échappements

Afin d'éviter les problèmes d'affichage et les injections il est recommandé d'encoder ou supprimer les caractères suivants pour les documents HTML et XML.

Exemples de traitements de chaînes

Tester une chaîne

Expression Résultat
$string Injection HTML <iframe src="http://www.kode.ch"></iframe>
htmlspecialchars($string) Injection HTML &lt;iframe src=&quot;http://www.kode.ch&quot;&gt;&lt;/iframe&gt;
htmlspecialchars($string,ENT_QUOTES) Injection HTML &lt;iframe src=&quot;http://www.kode.ch&quot;&gt;&lt;/iframe&gt;
htmlentities($string) Injection HTML &lt;iframe src=&quot;http://www.kode.ch&quot;&gt;&lt;/iframe&gt;
strip_tags($string) Injection HTML
strip_tags($string,'<a>') Injection HTML
filter_var($string, FILTER_SANITIZE_STRING) Injection HTML
filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS) Injection HTML &#60;iframe src=&#34;http://www.kode.ch&#34;&#62;&#60;/iframe&#62;
filter_var($string, FILTER_SANITIZE_FULL_SPECIAL_CHARS) Injection HTML &lt;iframe src=&quot;http://www.kode.ch&quot;&gt;&lt;/iframe&gt;
addslashes($string) Injection HTML <iframe src=\"http://www.kode.ch\"></iframe>

Sources