Sélectionner une page

Au risque de me faire taper sûr les doigts si j’ai loupé quelque chose (ce qui est probablement le cas 😉 ) voici une petite fonction que j’ai pris l’habitude de caler devant toute page php utilisant les variables $_GET et / ou $_POST.

Ce code permet simplement de déplacer toutes les variables $_GET & $_POST vers $sGET et $sPOST où chaque variables sera passé par htmlentities($value, ENT_QUOTES) autrement dit, les ‘  » / \ <i> … seront rendu « inoffensifs » pour toute requête SQL, insertion de code …

Il est possible de retrouver la version décodée grace à html_entity_decode()  Ou en utilisant directement $_GET ou $_POST.

Pour ceux qui n’auraient pas compris toute variable posté en paramètre (http:://urldemonsite.fr/?parametre=valeur) ou par un formulaire <input … > sera sécurisé et utilisable sans risque dans une requête SQL ou autre …

[Edit 17/03/2015]

Voici une adaptation de mon code suite à la proposition de TigerCX que je remercie :).

Cette version oeuvre différemment. Elle va traiter toutes les variables d’un tableau avec htmlentities, et si cette variable est un tableau la fonction va se rappeler elle-même pour traiter le sous tableau. (Ainsi toutes les données sont sécurisées, il n’y a pas de risque que le code php soit interrompu si l’on transmet un tableau dans un paramètre.)

Attention à la différence du premier code il faut appeler cette fonction et utiliser le tableau retourné par la fonction. Alors que le code précédent créait directement les variables $sGET …

L’appel sera similaire à :

Le contenu de la variable $var_securise sera tel que :