Une de mes variables GET permet à tous les caractères qui peuvent gâcher une URL en les urlencodant. Le problème, c'est que les balises peuvent être passées au script et affichées dans le code HTML, ce qui n'est pas bien! D'autant qu'il s'habitue à lancer un SELECT sur un mysql db.Valider une chaîne GET tout en utilisant des caractères spéciaux?
Alors, que j'utilise en ce moment est un ensemble preg_replace que hashed bandes sur toutes les balises (ci-dessous)
$getstring = preg_replace("/(<\/?)(\w+)([^>]*>)/e","", $getstring);
Est-ce suffisant ou est-il un grand trou béant que j'ai manqué?
Voulez-vous éliminer les caractères ou leur échapper? – tHeSiD
Qu'en est-il de 'strip_tags'? http://pt2.php.net/manual/fr/function.strip-tags.php – acm
strip_tags !!! oublié de celui-là, comment embarrassant :) bon appel! – Taylor