J'avais une regex comme première ligne de défense contre XSS. Il s'agit en fait de Kohana 2.3.Regex comme première ligne de défense contre XSS
Ceci s'exécute sur le texte entré public (aucun HTML jamais), et refuse l'entrée si échoue ce test. Le texte est toujours affiché avec htmlspecialchars()
(ou plus précisément, Kohana's flavour, il ajoute le jeu de caractères entre autres choses). Je mets également un strip_tags()
en sortie.
Le client avait un problème lorsqu'il voulait entrer du texte avec des parenthèses. J'ai pensé à modifier ou à étendre l'assistant, mais j'avais aussi une pensée secondaire - si j'autorise les guillemets, y a-t-il vraiment une raison pour laquelle je dois valider? Puis-je simplement compter sur l'échappement en sortie?