Bonjour,

je débute sur Laravel et j’ai pas mal de question concernant la sécurité, est-ce qu’une âme charitable pourrait m’éclairer ?

1 - En utilisant la méthode validate() qui est fourni avec la class Request est-ce que cela suffit pour supprimer les caractères spéciaux ?

2 - Faut-il que j’utilise quand même les functions htmlspecialchars ou strip_tag dans mon contrôleur ?

3 - comment limiter au maximum les injections SQL ?

Salut,

1- Tu sais ce que tu attends de tes données, le format etc.. donc tu mets tes règles de validation si celle par défaut ne t'arrangent pas .As-tu la doc de validate ?

2- htmlspecialchars c'est à l'affichage (echo, print...) , ou dans les vues (blade a un mécanisme d'échappement)

3- Eloquent, querybuilder (tout est dans la documentation)

Sinon avant de commencer , t'es tu documenté ?

Oui je me suis documenté un peu, je sais qu’il a des règles de base et qu’un peu créer ses propres règles.

Pour l'échappement,  j'ai vu aussi pour blade on peut utiliser {{}}, mais j'ai rien vu au niveau du contrôleur.

Pour les injections je n'ai pas vu non où il a parlé de la sécurité.

Comme je l'ai dit htmlspecialchars  dans blade (pas besoin de l'utiliser explicitement) ou avec un echo, print... (Ton besoin de vouloir échapper dans un contrôleur me fait dire que tu n'as pas réellement suivi une documentation sur Laravel pour comprendre les principes)

Pour l'injection SQL...

The Laravel query builder uses PDO parameter binding to protect your application against SQL injection attacks. There is no need to clean or sanitize strings passed to the query builder as query bindings.