Discussion :

[dimebagplan]

Salut à tous.

J'ai un petit formulaire que j'aimerais un tant soit peu sécuriser, j'ai lu le débat sans fin entre addSlashes() et mysql_escale_().

Je dois vous dire que ça m'a vite gavé.
J'ai donc opté pour une solution plus radicale, une regex qui accepterai uniquement les alphaNumériques et voir quelques autres caractères.

1 - qu'en pensez vous ?

Aussi, j'ai récupérer cette petite regex pour arriver à faire de l'alphaNumérique.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<?php
$string = "Here! is some text, and numbers 12345, and symbols !£$%^& that are not allowed";
$new_string = preg_replace("/[^a-zA-Z0-9\s]/", "", $string);
echo $new_string;
?>

Ça marche très bien cependant, comment je fait si je veux accepter les caractères Japonais, Coréens, Russes par exemple ?

Je me suis dis qu'il fallait que je me fasse une regex, qui fasse l'inverse (c'est la qu'on en reviens au titre du sujet) une regex qui puisse supprimé les caractères les plus nocifs pour les injections sql ou autre.

Quels sont à votre avis les caractère à évité à tout prix ?
Je ne cracherai pas sur un petit exemple non plus ^^.

Un grand merci par avance à une éventuelle réponse !

ciao et @ bientôt !

[nosferapti]

Quels sont à votre avis les caractère à évité à tout prix ?
Je ne cracherai pas sur un petit exemple non plus ^^.

ça dépend contre quoi tu veux le protéger, ce n'est pas la même chose si c'est utilisé pour une requête SQL ou bien pour l'afficher sur une page XHTML
regarde là : http://php.developpez.com/faq/index.php?page=securite

[dimebagplan]

Hello, dans la majorité des cas, les champs utilisateurs mèneront à des requêtes sql.

En effet, j'ai vue que dans la majorité des cas mysql_real_escape_string() convenais bien.

Peut-etre que de faire une regex pour me supprimer des caractères dit "dangeureux" ne me servirais peut-etre pas à grand chose finalement ?

[s.n.a.f.u]

Hello, dans la majorité des cas, les champs utilisateurs mèneront à des requêtes sql.

En effet, j'ai vue que dans la majorité des cas mysql_real_escape_string() convenais bien.

Peut-etre que de faire une regex pour me supprimer des caractères dit "dangeureux" ne me servirais peut-etre pas à grand chose finalement ?

Salut,

Oui, c'est peut-être inutile, et de plus, tu risques de t'embarquer dans du lourd si tu veux commencer à matcher de l'unicode (japonais et chinois par exemple).

Et en hs, je ferais encore un peu de pub à PDO qui encapsule cette sécurité grâce aux requêtes préparées.