squalyl (./9216) :
Zerosquare: pour un site aussi énorme c'est probablement assez dur de penser à tous les points d'injection, si on l'a pas spécifiquement dès le début

Oui enfin bon...

- les points d'injection, c'est toutes les saisies utilisateur (et les commentaires, c'est quand même légèrement un truc majeur sur un site "2.0" )

- à moins que je dise des conneries (les spécialistes du dév Web pourront rectifier si besoin), un simple remplacement de '<', '>', '&', et ';' par leurs équivalents textuels HTML suffit à protéger contre l'injection de toutes les balises