Bonsoir,
Est-ce que cela "protège" davantage de filtrer une variable récupérée en Get ou Post et de faire en plus de cela une requête préparée ?
Ou la requête préparée suffit?
Bonsoir,
Est-ce que cela "protège" davantage de filtrer une variable récupérée en Get ou Post et de faire en plus de cela une requête préparée ?
Ou la requête préparée suffit?
Il ne faut pas confondre "gestion d'erreur" (validation des données reçues) et "protection contre injection SQL".
Il existe d'autres types d'attaque possibles... (code frauduleux, dans les textarea, par exemple).
Il faut savoir ce qu'on fait, et à quoi ça sert.
Bonsoir,
Merci de votre réponse
Je voulais parler principalement des "injections sql"
Pour tout ce qui entre dans la base de données la requête préparée est-elle suffisante ?
Et pour ce qui n'entre pas dans la base de données mais qui est récupérée par une variable et utilisé dans le script, le remplacement de caracteres spéciaux est-il suffisant?
- requête préparée * pour SQL,
- htmlspecialchars pour affichage
- strip_tags pour textarea (sans formatage HTML particulier)
C'est le minimum.
* C'est étudié pour (contre injection SQL).
Encore faut-il le faire correctement.
Mon conseil : "on n'est jamais trop prudent".
Merci
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager