Un des concepts que saisissent assez difficilement les nouveaux créateurs d’applications Web / WebMaster, est qu’il dangeureux de faire confiance aux entrées de l’utilisateur. La semaine dernière, il y a eu des différents rapports sur une douzaine de vulnérabilités trouvées dans des applications de Web * la plupart du temps tous tournent autour des entrée non réprimée de l’utilisateur. En raison de la dominance de PHP dans le monde du développement d’application Web, plusieurs des applications vulnérables étaient celles écrites en PHP, ce qui blessent l’expérience professionnelle de la sécurité de PHP, quoiqu’il en soit, ce n’est pas le language qui est fautif (les mêmes applications écrites dans un autre language auraient souffert des mêmes vulnérabilités).
Le défi de valider les entrées de l’utilisateur n’est pas simple. Zeev Suraski nous explique en partie ce problème dans un nouvel article.