[Tableaux] "htmlentities" globales ?

**NoobX** · 09/12/2006, 15h46

Bonjour @ tous

Je me trouve devant un probleme tres embettant !

Je m'explique :
J'ai un site en php+mysql
Ce site contient de nombreux formulaire ($_post) contenant chacun un nombre tres grand de variables !

Ce site fonctionne tres bien mais n'est absolument pas securisé contre les attaques de type sql injection !
Desormais il doit etre securisé sur ce point !

pour vous aider a comprendre mon probleme on va prendre un exemple chiffrer !
J'ai 20 formulaires contenant chacun 200 variables !
Soit 4000 varaiables a securisées contre l'injection sql

Je ne peux pas les prendre une par une pour les securisées !
il me faudrait 10 ans .....

Je cherche donc a creer une fonction qui listerai toutes les variables envoyé par un formulaire sous la forme d'un tableau puis appliqué a chacune d'entre elle HTMENTITIES !

en theories je vudrais faire un array sur le formulire envoyé puis lister ce array pour appliquer un htmlentities sur chaque variable du formulaire !

Est-ce possible ? j'espere que oui
Comment faire ? donnez moi vos idées

svp
existe t il une autre solution ? tout m'interesse

**zyongh** · 09/12/2006, 15h53

...mais ça ne l'est pas forcément

Puisque tes variables sont transmises par $_POST[] qui est un tableau, le travail est déjà à moitié effectué.

Déjà, la première sécurité contre les mal-intentionnés est de considéré toute variable comme non valide. Je m'explique

Tu récupère ton tableau $_POST[] et tu fais un foreach et pour chaque clé tu fais un htmlentities sur la valeur que tu remets dans cette même clé. Donc te voici en quelques lignes de codes à vérifier toutes tes variables.

**Lorenzo77** · 09/12/2006, 22h05

si ta seule peur c'est : "les attaques de type sql injection" tu as juste a utiliser mysql_real_escape_string !

sinon si tu veux ton systeme, tu dois juste utiliser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST = array_map("htmlentities", $_POST);

pas si compliqué

**NoobX** · 11/12/2006, 15h49

Merci beaucoup

j'ai pas encore essayer, mais des que possible je vous tiends au courant de mon evolution

**aeoai** · 12/10/2007, 10h51

Super, pour moi ça marche.

**zyongh** · 12/10/2007, 16h12

Envoyé par Lorenzo77

si ta seule peur c'est : "les attaques de type sql injection" tu as juste a utiliser mysql_real_escape_string !

sinon si tu veux ton systeme, tu dois juste utiliser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST = array_map("htmlentities", $_POST);

pas si compliqué

Envoyé par aeoai

Super, pour moi ça marche.

Je connaissais par array_map(). Super conseil Lorenzo, je retines.

[Tableaux] "htmlentities" globales ?

Langage PHP

Partager

Partager