Discussion :

[Daviloppeur]

Bonjour,

J'ai lu beaucoup de choses à ce propos mais au final je suis un peu perdu.

Lorsque je permets à l'utilisateur d'entrer des données à partir d'un formulaire et que je veux ensuite stocker ces données dans une base mysql.

Quelle est le meilleur traitement à faire pour sécuriser ces données et les valider avant de les stocker ?. (lorsque ces données sont de type string).

merci

[greg91]

Salut,

Pour contrôler tes données envoyé par un client, je pense que la meilleur approche est une liste blanche :
- définit les caractère qui sont autorisés
- tous ce qui n'est pas dans cette "liste blanche" provoquera une erreur

Ensuite,

- passe toute les données récupérés par la fonction htmlentities
- avant ton insertion dans ta base de données utilise la fonction mysql_real_escape_string qui va te protéger des injections SQL

[Vil'Coyote]

salut,
pour valider et stocker, tu peux dans un premier temps prévalider les données à l'envoi via du javascript (exemple : @mail etc ....) mais tu peux aussi les vérifier dans ta page de réception (avant stockage en base) comme la indiqué greg91 à l'aide de fonction php.