Protection contre injection SQL

WRInaute impliqué
Bonjour,

Je filtre mes variables au maximum pour me protéger contre les injections sql, par exemple une variable qui n'est sensé contenir que des chiffres ou des lettres je fais un :

Code:
$var=preg_replace("#[^0-9a-zA-Z]#","",$_GET['var']);

Au moins je suis tranquille.

Problème : j'ai une variable qui viens d'un formulaire en HTML. C'est à dire que cette variable contiens des chiffres,lettres, et... du html.... J'insére ensuite cette variable dans mysql , le soucis est que je ne peux pas la filtrer facilement du tout avec tout les symboles possible....

Pour cette variable " complexe " , j'utilise mysql_real_escape_string lorsque je l'insere dans mysql, mais je suis peut être parano mais je suis pas sur que ca me protege correctement.

N'étant pas un pro du hack mysql :p est ce que vous savez comment faire pour me protéger d'une attaque par injection avec ma variable " complexe " ?
 
Discussions similaires
Haut