Caractères spéciaux, injection & échappements

Afin d'éviter les problèmes d'affichage et les injections il est recommandé d'encoder ou supprimer les caractères suivants pour les documents HTML et XML.

• < ⇒ &lt;
• > ⇒ &gt;
• & ⇒ &amp;
• " ⇒ &quot; (pour les valeurs d'attibuts HTML ou XML)
• ' ⇒ &apos; (pour les valeurs d'attibuts HTML ou XML)

Exemples de traitements de chaînes

• TEST : L'épave à Loïc & Maël
• TEST : <p>paragraphe <a href="http://kode.ch">Lien</a></p>
• TEST : «ταБЬℓσ» : ' \ 1 < 2 & 4 + 1 > 3, "now" 20% off!
• TEST : Injection HTML <iframe src="http://www.kode.ch"></iframe>
• TEST : Injection JS <script>document.location='http://kode.ch'</script>
• TEST : Injection SQL';--

Tester une chaîne

Sources

• http://php.net/manual/fr/language.types.string.php
• http://php.net/manual/fr/function.filter-var.php
• http://php.net/manual/fr/filter.filters.sanitize.php
• http://php.net/manual/fr/function.htmlentities.php
• http://php.net/manual/fr/function.htmlspecialchars.php
• http://php.net/manual/fr/function.strip-tags.php
• https://en.wikipedia.org/wiki/Code_injection
• https://fr.wikipedia.org/wiki/Cross-site_scripting
• https://en.wikipedia.org/wiki/List_of_XML_and_HTML_character_entity_references
• https://dev.w3.org/html5/html-author/charref