salut à tous 
voilà je voudrais savoir comment sont sécurisée les requetes sql sur PHPBB.
Je m'explique : je voudrais creer une fonction du meme genre que celle de PHPBB permettant de "préparer" des chaines de caractères envoyée par méthode POST par les visiteurs.
sur phpbb je vois ca :
$html_entities_match = array('#&(?!(\#[0-9]+)#', '#<#', '#>#');
$html_entities_replace = array('&', '<', '>');
function prepare_post(blablabla)
{
$message = preg_replace($html_entities_match, $html_entities_replace, $message);
}
et après il l'utilise comme ca :
$message = prepare_message(trim($message)
et je crois que c'est tout :S
je voudrais savoir si ca, ca me suffit pour les visiteurs qui envoie des données via un formulaire , c'est sécurisé niveau injection sql ?
parce sur phpbb j'ai pas vu de mysql_real_escape_string ou de htmlentities
aussi, assez souvent, j'ai des truc de genre "select blabla where id=$id" (par exemple).
je voudrais savoir si ca a de l'importe de mettre des guillements simple autour de $id et si, dans ce cas, une verification avec is_numeric() suffit à sécuriser totalement ce genre de requete ?
une dernière question :
quelle est la différence entre :
if($var != NULL)
if(isset($var))
if(!empty($var))
?? sachant que je veux vérifier si des données pasé dans l'url ou par formulaire sont bien "remplie"
voilà, c'est a peu près tout.
en gros je cherche à sécuriser mes requete sql, et à avoir plus d'info sur isset, empty et !=NULL
merci d'avance !!
voilà je voudrais savoir comment sont sécurisée les requetes sql sur PHPBB.
Je m'explique : je voudrais creer une fonction du meme genre que celle de PHPBB permettant de "préparer" des chaines de caractères envoyée par méthode POST par les visiteurs.
sur phpbb je vois ca :
$html_entities_match = array('#&(?!(\#[0-9]+
)#', '#<#', '#>#');$html_entities_replace = array('&', '<', '>');
function prepare_post(blablabla)
{
$message = preg_replace($html_entities_match, $html_entities_replace, $message);
}
et après il l'utilise comme ca :
$message = prepare_message(trim($message)
et je crois que c'est tout :S
je voudrais savoir si ca, ca me suffit pour les visiteurs qui envoie des données via un formulaire , c'est sécurisé niveau injection sql ?
parce sur phpbb j'ai pas vu de mysql_real_escape_string ou de htmlentities
aussi, assez souvent, j'ai des truc de genre "select blabla where id=$id" (par exemple).
je voudrais savoir si ca a de l'importe de mettre des guillements simple autour de $id et si, dans ce cas, une verification avec is_numeric() suffit à sécuriser totalement ce genre de requete ?
une dernière question :
quelle est la différence entre :
if($var != NULL)
if(isset($var))
if(!empty($var))
?? sachant que je veux vérifier si des données pasé dans l'url ou par formulaire sont bien "remplie"
voilà, c'est a peu près tout
.en gros je cherche à sécuriser mes requete sql, et à avoir plus d'info sur isset, empty et !=NULL
merci d'avance !!
