Comme le dit nexen il faut craindre les XSS. Ouais c’est bien … mais c’est quoi ? Les XSS consistent à injecter du code JavaScript dans une page, en faisant placer des données dans le code HTML par le script PHP. Le grand classique est echo $_GET[“x”]; qui injecte toute la variable x passée en méthode GET dans le code HTML. Il ne reste plus qu’à donner à x un peu de code Javascript, et le tour est joué.
Il fallait craindre les variables _GET, _POST et _COOKIE de part leur ajout facile de code, mais maintenant il faut aussi craindre la superglobale _SERVER.
Sean Coates nous explique pourquoi dans son article en anglais.