Discussion :

[cfloriot]

Bonjour,
je vous soumets un code que je pense avoir à peu près sécurisé, pouvez-vous me dire si il est correct

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php
 $mysqli = new mysqli("127.0.0.1", "root", "", "elevagedubanney");
if(isset($_POST['Titre'], $_POST['Texte']))
{
echo $_POST['Titre'],"<br/>", $_POST['Texte'],"<br/>";
}
else
{
	echo"les valeurs ne sont pas transmises<br/>";
}
$sql= "INSERT INTO news (titre, texte) VALUES (?,?)";
// préparation de la requ^te
$resultat = mysqli_prepare ($mysqli, $sql);
//liaison des paramètres
$ok = mysqli_stmt_bind_param ($resultat, 'ss',$val1,$val2);
$val1=mysqli_real_escape_string($mysqli, $_POST['Titre']);
$val2=mysqli_real_escape_string($mysqli,$_POST['Texte']);
//execution de la requête
$ok = mysqli_stmt_execute($resultat);
if($ok==FALSE)
{
	echo"echec de l'execution de la requête<br/>";
}
else
{
	echo"l'inscription est faite<br/>";
}
mysqli_stmt_close($resultat);
if(mysqli_close($mysqli))
{
	echo"déconnexion réussie";
}
?>

merci pour votre aide,
cordialement,

[Spartacusply]

Tu n'as même pas besoin d'utiliser mysqli_real_escape_string vu que l'utilisation d'une requête préparée suffit. Pour répondre à ta question oui il est sécurisé, en tout cas contre les injections SQL.

[cfloriot]

merci pour ton aide
je vais mettre le post comme résolu