Discussion :

[Florian.L]

comme je savais pas ou poser (ça touche plusieurs sous-forums) je poste ici...

A force de lire plein de cours/tuto/script, je voit plein de fonction censé sécurisé le code.

et donc j'en suis rendu au point ou je ne sait plus quoi utiliser? dans quelle situation? de quoi cela protège t-il?

j'ai pas trouver de tuto expliquant tout ça, je trouve que ça pourrais être une bonne idée pourtant...

Exemple:

-aprés avoir reçu une donnée passé par un formulaire:
htmlspecialchars () pour rendre inoffensif les balises HTML > protection contre injection HTML

htmlentities() > se protéger de la faille xss??

-pour par exemple un champ d'identification:
mysql_real_escape_string() > injection sql

-pour eviter d'avoir des bugs SQL
addslashes > ajout de "\"

a utiliser avec:
stripslashes > retirer les "\"

mais ceci est à utiliser si les magic_quotes sont désactivés


et il doit exister d'autres trucs...

bref, j'aimerais bien avoir un listing (un aide mémoire) pour savoir quoi utiliser, dans quel situation et pourquoi.


merci

[herve42]

Bonjour

pour mon cas je procéde ainsi (j'ai lu beaucoup de littérature à ce sujet et il y en tellement que je me suis perdu alors j'ai pris une décision qui vaut ce qu'elle vaut)

aprés qu'une zone soit saisie dans un formulaire, je :

test la variable magic_quote d'apache en php

si elle est a on : j'enleves les antislashes car pollue la BDD
je supprimer les eventuels caractères html via une fonction php
et j'enregistre la donnée.

pour les injections sql je n'ai pas a gérer ce pb car la couche d'abstraction pear que j'utilise s'en charge.

ci-dessous la fonction utilisée si cela peut t"interesser a+

function encode_donnee($string) {

$string_modifie = $string;
if (get_magic_quotes_gpc())
{
$string_modifie = stripslashes($string);
}
$string_modifie = strip_tags($string_modifie);
return($string_modifie);
}