Discussion :

[italiasky]

Bonjour,

On entend pas mal parlé des problemes de sécurité avec PHP quand on utilise MySQL, ca reste assez complexe, il y a beaucoup de techniques mais si j'ai bien compris, le principal c'est de controler tout ce qu'on met, je me suis créé une petite fonction pour protéger ma base, chaque donnée que je dois ajouter dans MySQL je la passe dans cette fonction, est-elle suffisante ? Que puis-je rajouter ?

Merci

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
function ProtectSQL($value)
{
	if(get_magic_quotes_gpc()) 
		{
    		$value = stripslashes($value);
   		}
 
	if (!is_numeric($value)) 
		{
     		$value = mysql_real_escape_string($value);
   		}
   return $value;
}

[qi130]

problemes de sécurité

Ben tout dépend de ce qu'on met là-dedans

Le langage (PHP ou autre) ne peut pas grand-chose à lui tout seul, le programmeur est le seul à pouvoir faire l'effort de réflexion nécessaire afin que l'application (soft + données) tienne le coup face aux utilisateurs.

Tu sembles bien engagé dans cette voie, mais les contrôles à mettre en oeuvre sont souvent fonction de la colonne d'accueil des données (en 1er lieu), mais aussi fonction de la cohérence qu'on peut y attacher.

Par ex: un date de naissance 25/07/1970 est parfaitement valide, mais en corrélant avec un n° de S.S 1710445012014 (parfaitement valide aussi), ce n'est plus bon...

Alors, contrôler le type: OK, contrôler le format: OK. Ensuite, c'est à toi de voir.