Discussion :

[keviin]

Salut, cela fait un moment que je cherche à sécurisé mon site contre les injection sql et autre type d'attaque mais j'avance vraiment pas .Les tuto que je trouve sont contradictoire ...J'ai un accès à php.ini ,es que je doit mettre les magic quotes en OFF ?

Si j'écris se code pour une chaine de caractère comme variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$ pseudo = mysql_real_escape_string ($ _GET [ 'pseudo']);
$ requete = mysql_query ( "SELECT age FROM membres WHERE pseudo = '$ pseudo'");

et se code pour un entier comme variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$ id = intval ($ _POST [ 'id']);
$ requete = mysql_query ( "SELECT age FROM membres WHERE id = $ id");

es que mon site sera sure ?
je suis perdu , merci énormément d'avance

[sabotage]

Il est en effet preferable de desactiver les magic_quotes (qui sont pénibles et obsolètes) et d'utiliser les fonctions d'echappement comme mysql_real_escape_string() pour les chaines de caractère.

es que mon site sera sure ?

On peut juste dire qu'il ne sera pas possible de detourner cette requete.