Discussion :

[reacen]

Bonjour,

J'aimerais savoir si le casting en int (en PHP) protège complètement contre les injections sql? Voici un exemple de ce que je veux dire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$var = (int)$_GET['var'];
mysql_query("SELECT pass FROM comptes WHERE id={$var} LIMIT 1;");

Est-ce qu'il y a un moyen qu'une personne puisse jouer un peu avec la method GET et contourner la sécurité du PHP (en profitant d'une faille PHP par exemple: avec des caractères spéciaux %00, etc) pour que $var finisse par contenir du text qui vise à s'introduire dans ma requête SQL ?

La façon dont j'ai écris le code, est-elle bien sécurisée? Pas besoin de mysql_real_escape_string() dans ces cas là?

[Invité]

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

Mais pourquoi se tirer une balle dans le pied en se privant de mysql_real_escape_string() ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   mysql_query("SELECT pass FROM comptes WHERE id='".mysql_real_escape_string($_GET['var'])."' LIMIT 1;");

[stealth35]

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

les variables de $_GET sont toujours du type string ...

[reacen]

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

Mais pourquoi se tirer une balle dans le pied en se privant de mysql_real_escape_string() ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   mysql_query("SELECT pass FROM comptes WHERE id='".mysql_real_escape_string($_GET['var'])."' LIMIT 1;");

Merci pour vos réponses.

mysql_real_escape_string() c'est un peu long à taper, et pas très agréable à lire dans son code. Surtout coté optimisation j'ai l'impression que le casting iras plus rapide.

J'ai coder un petit site en se basant complètement sur le cast en (int). (Le escape_string seulement pour les entrés string), devoir changer ça va me prendre du temps, je cherche juste à savoir si c'est sécurisé ou pas.

[stealth35]

utilise de vrais extensions comme mysqli ou PDO si tu veux faire les choses bien

[reacen]

On a toujours pas répondu à ma question

Ma technique elle est sécurisée à 100% ou pas, s'il vous plait ?

[stealth35]

Ma technique elle est sécurisée à 100% ou pas, s'il vous plait ?

oui

[reacen]

oui

Merci

Je compte sur ça.

[transgohan]

Est-elle sécurisée ? Oui elle n'insérera qu'un entier.
Est-elle viable ? Non car elle t'insérera n'importe quoi.

Essayes de passer une chaîne de caractère à la place d'un entier, ta requête se ferra tout de même avec un entier correspondant au code ascii de la première lettre de la chaîne (ou un truc du genre).

[kaymak]

Essayes de passer une chaîne de caractère à la place d'un entier, ta requête se ferra tout de même avec un entier correspondant au code ascii de la première lettre de la chaîne (ou un truc du genre).

hello,

...
Ne vous attendez pas à récupérer le code d'un caractère en le convertissant en entier, comme cela est possible en C. Utilisez la fonction ord() et la fonction chr() pour convertir les caractères en codes ASCII.

string -> int est égal à 0.

a+

[transgohan]

hello,
string -> int est égal à 0.
a+

Pas du tout...

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php  
$string = "5test";
echo (int)$string;
?>

5