JeromeJ's linksShaared links2013-09-10T14:22:23+02:00http://www.olissea.com/mb/links/1/http://www.olissea.com/mb/links/1/http://www.olissea.com/mb/links/1/Shaarli[PHP] Je ne t'aime pas - Forums - Olissea.comhttp://www.olissea.com/mb/links/1/?CyDcGA2013-09-10T14:22:23+02:002013-09-10T14:22:23+02:00 #poop, une faille XSS built-in. Une !
Afficher les erreurs en prod, c'est mal ? Non, c'est bien pire que ça ! C'est exposer son site à des failles XSS. Enjoy cette merde.
Et évidemment, le plus beau c'est qu'ils ne veulent pas réparer ça, c'est pas un bug selon eux.
Si tu affiches les erreurs, alors tu renonces à la sécurité, selon eux.
(Ça leur fendrait trop le cul d'ajouter un htmlspeacialchars ? Genre …)
Bon, ok, on peut log les erreurs même en dev, mais de là à être obligé (faut-il encore le savoir que c'est dangereux à ce point)…
Même en dev, je pourrais extraire des données utilisateur d'un site externe et me faire piéger par un beau script JavaScript.