Danger D'un Echo $_get['erreur']; ?

Hum, juste pour confirmer, si dans mon code j'ai:

est-ce qu'il y a un risque pour la sécurité du site ?
Il s'agit vraiment et uniquement d'un echo, rien dans une requête MySQL...

Quand même que le visiteur va mettre tout le javascript qu'il voudra, ca ne compromet pas plus la sécuriter que de sauvegarder un formulaire et de le modifier non ?

Pour protéger les $_GET
fais plutot
<?php
$erreur=addslashes($_GET["erreur"]);
$erreur=str_replace("<","&lt",$erreur);
echo $erreur;
?>

Logiquement je ne me souviens plus trop de l'écrire (c'est le matin faut pas trop m'en demander ), faut changer les < en code html, et mettre des \ pour éviter les caractères spéciaux ^^
jepense que le str_replace sufft.

A mon avis, l'essentiel est d'être sur que la variable d'erreur ne contient aucune information sensible principalement,
- la base de données (les Messages d'erreur renvoient en général une partie de la syntaxe SQL dévoilant ainsi une partie des noms des champs de la base)
- les variables de session (nom, contenu, etc)

C'est tout l'intéret d'avoir un système d'erreur encapsulé qui récupére l'erreur, envoie une notification à l'Admin du site (avec le plus de détails possible sur l'erreur) et redirige l'utilisateur vers une page neutre lui informant d'une erreur (avec plus ou moins de précision sur la cause de cette erreur selon les cas).

Vous creusez trop... ma question est beaucoup plus simple que ca.

MEME si l'utilisateur décide de mettre un iframe avec un site porno dedans dans le paramêtre GET, qui pour l'exemple n'a AUCUNE validation de quelque sorte que ce soit.

Ca change quoi ? il sera le seul à être affecté par cet incroyable "hack" non ?



J'ai une page, avec le code suivant:
echo $_GET["erreur"];


Je dois m'attendre à craindre quoi ?

Tu peux t'attendre à du "Hey, vas sur url?erreur=<iframe src="url2"></iframe>". Avec dans url2 de jolis petits script pour récupérer des cookies, ce qui se trouve dans le presse-papier si l'utilisateur utilise IE et tout ce qui est possible et imaginable avec une simple page. Si l'utilisateur le fait sur lui même, ça ne fait rien. Mais dés qu'il commence à donner ses liens bidouillés et que des gens les suivent, ils peuvent se faire emmerder.

Bah tu crains pas grand chose je pense. Si tu peux évité d'en faire, mais bon la capacité de nuisance reste trés limités je pense.

Point intéressant.

J'ajouterais :
- Mais il pourrait aussi bien monter son propre site
- Est-ce que le fait que le lien commence par www.cybercity2034.com va suffire à ce que plusieurs ne se posent pas de question
- Si la valeur est simplement passé en POST plutot qu'en GET, on diminue raisonnablement le niveau de risque ?

Le mieux est d'utiliser htmlentities pour virer tout ce qui est balise.

ouais, t'inquiète pas, je sais...
je voulais juste approfondir le concept même de faire ce genre de truc coté sécurité.

Merci pour vos commentaires