Caractères spéciaux, injection & échappements

Afin d'éviter les problèmes d'affichage et les injections il est recommandé d'encoder ou supprimer les caractères suivants pour les documents HTML et XML.

< ⇒ <
> ⇒ >
& ⇒ &
" ⇒ " (pour les valeurs d'attibuts HTML ou XML)
' ⇒ ' (pour les valeurs d'attibuts HTML ou XML)

Exemples de traitements de chaînes

TEST : L'épave à Loïc & Maël
TEST : <p>paragraphe <a href="http://kode.ch">Lien</a></p>
TEST : «ταБЬℓσ» : ' \ 1 < 2 & 4 + 1 > 3, "now" 20% off!
TEST : Injection HTML <iframe src="http://www.kode.ch"></iframe>
TEST : Injection JS <script>document.location='http://kode.ch'</script>
TEST : Injection SQL';--

Tester une chaîne

Expression	Résultat
$string	Injection HTML <iframe src="http://www.kode.ch"></iframe>
htmlspecialchars($string)	Injection HTML <iframe src="http://www.kode.ch"></iframe>
htmlspecialchars($string,ENT_QUOTES)	Injection HTML <iframe src="http://www.kode.ch"></iframe>
htmlentities($string)	Injection HTML <iframe src="http://www.kode.ch"></iframe>
strip_tags($string)	Injection HTML
strip_tags($string,'<a>')	Injection HTML
filter_var($string, FILTER_SANITIZE_STRING)	Injection HTML
filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS)	Injection HTML <iframe src="http://www.kode.ch"></iframe>
filter_var($string, FILTER_SANITIZE_FULL_SPECIAL_CHARS)	Injection HTML <iframe src="http://www.kode.ch"></iframe>
addslashes($string)	Injection HTML <iframe src=\"http://www.kode.ch\"></iframe>

Sources