bonjour,
je viens de lire plusieurs articles sur le controle de données "POSTées" et je n'arrive pas trop à faire le point.
Une chose est acquise, c'est qu'il ne faut jamais faire confiance à l'utilisateur ni à la base de données.
dans les articles, je distingue donc 2 types de contrôles:
-ceux visant à éviter l'injection sql:
avec Htmlspecialchars() htmlentities()et mysql_real_escape string().
-ceux visant à contrôler que la variable correspond à un type de donnée
ctype_digit() ou _alnum() ou _alpha()ou controle de la longueur de chaine
strlen().
Est-ce que le premier type de controle doit etre systèmatique, car si j'attends une valeur numérique et si j'ai une variable ressemblant à <injection sql>, en passant par le filtre ctype_digit(), ça va obligatoirement être refoulé???
Sinon, je n'ai pas trouvé le contrôle pour déterminer si ma variable correspond à une date.
Partager