Discussion :

[Ministar]

Bonjour!

Je fait un site web qui a rapport avec une base de donnée.

Le fait est (et c'est logique!) que j'utilise des champs de formulaire pour intéragir avec ma base de données.

Je protège déjà les informations saisies avec la fonction addslashes() pour l'enregistrement.

Lors de la lecture j'utilise htmlententities().

Je suppose qu'il y a encore des failles, j'aimerais les comblés, comment faire?

Merci!

[jbrasselet]

Tu peux essayer de virer les points-virgules et les pourcentages.

[trotters213]

Heeuuu déjà plutôt que d'utiliser addslashes tu peux utiliser mysql_real_escape_string voir même mieux, tu utilise cette fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) $value = stripslashes($value);
   // Protection si ce n'est pas un entier
   if (!is_numeric($value))$value = "'" . mysql_real_escape_string($value) . "'";
   return $value;
}

Ensuite, et désolé de te décourager, mais tu n'auras jamais une protection parfaite

[metfan]

Ah moins d'avoir des ennemies ou de marquer en gros sur le site Hack Me, les chances de se faire hacker sont faible. Tes données sont vraiment si sensible que ça??

[Ministar]

Je ne vois pas bien ce que fait ta fonction de plus que mysql_real_escape_string ?!

Sinon elle est pas trop mal mais il faut vérifier les magic quote avant de l'utiliser?

Le mieux c'est de l'utiliser sur TOUTES les données provenant de formulaires si j'ai bien compris!

Ya til pas d'autres protection a fournir?
Des scripts php ne peuvent pas être utilisés pour attaquer mon site web?

La protection parfaite ca ne sera surement pas possible mais il faut bien essayer de s'en approcher!

Edit : Mes données ne sont pas si sensibles que ca mais le jour ou je programmerais pour une entreprise elles le seront!

[Grummfy]

pour ce qui est de requête sql tu peux toujours les préparer, c'est à dire faire des pré requète ce qui empêche les hack par injection sql

tu peux aussi tester le type des donnée envoyée et voir si cela ne comporte pas de caractères/formes inattendues

[trotters213]

Je ne vois pas bien ce que fait ta fonction de plus que mysql_real_escape_string ?!

Sinon elle est pas trop mal mais il faut vérifier les magic quote avant de l'utiliser?

bè elle détecte l'activation du mgic_quotes_gpc afin de supprimer les slash qu'il te rajouterait puis si la valeur que tu as passée en paramètre n'est pas un entier (donc une chaine qui faut encapsuler dans des simples quotes) alors il appelle mysql_real_escape_string().

@ Grummfy : L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL