Filtrer les données arrivant sur le serveur
Il faut appliquer un filtre adapté aux différents cas :
- HTML : utiliser la biblio PHP Html Purifier qui est l'outil standard, avec une liste blanche des balises autorisées.
- texte : utiliser ext/filter et les fonctions
filter_var()
oufilter_input()
avecFILTER_SANITIZE_STRING
. - JSON : pas de filtrage du contenu.
Le but est surtout d'éviter que des copiés-collés insèrent du HTML caché (balise script, etc). On gagnera donc en fiabilité, mais aussi en sécurité.