1. ✅ Apprenez une METHODE qui marche pour votre SEO ! Formation à distance avec Olivier Duffez et Fabien Facériès + aide pour prise en charge du financement
    Rejeter la notice

Protection variable php contre les injections ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Stellvia, 5 Avril 2016.

  1. Stellvia
    Stellvia WRInaute impliqué
    Inscrit:
    28 Décembre 2004
    Messages:
    552
    J'aime reçus:
    4
    Bonjour,

    J'ai une variable qui ne doit contenir que des chiffres, je la récupère comme ceci :

    Code:
    $id = filter_var($_GET['id '], FILTER_SANITIZE_NUMBER_INT);
    Comme ca je suis certain qu'elle a que des chiffres.

    Y a t-il besoin d'ajouter en plus
    Code:
    mysqli_real_escape_string
    pour enregistrer dans mysql ou cela ne sert à rien ?
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 056
    J'aime reçus:
    294
    De toute façon TOUTES tes données sont échappées automatiquement n'est-ce pas ?
    (Si tu codes encore façon 1920, je pense a du code genre : http://snipplr.com/view/3567/ )
     
  3. Stellvia
    Stellvia WRInaute impliqué
    Inscrit:
    28 Décembre 2004
    Messages:
    552
    J'aime reçus:
    4
    Je ne comprend pas ta réponse.

    Mes variables sont filtrer selon les besoins, j'ai pris l'exemple le plus simple avec les chiffres.

    Autre exemple :

    Code:
    $variable=preg_replace("#[^0-9a-zA-Z-_]#","",$_GET['variable']);
    si j'ai besoin de ces symboles.


    Je ne sais pas si c'est ca que tu appelle coder façon 1920.


    Je voudrais savoir si mysqli_real_escape_string dois être utilisé tout le temps, ou si c'est seulement quand la variable est utilisé "brut" ?

    C'est surtout une histoire de perf, je veux pas ajouter du code qui sert à rien.
     
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 056
    J'aime reçus:
    294
    Pour être sûr, tout le temps.
     
  5. FortTrafic
    FortTrafic WRInaute passionné
    Inscrit:
    11 Décembre 2012
    Messages:
    1 210
    J'aime reçus:
    18
    Moi si une variable ne doit contenir que des chiffres je ne me casse pas la tête :
    $id = intval($_GET['id']);

    en sachant que 0 n'est pas une id valide pour moi.

    Sinon pour ta question, pas besoin d'utiliser la fonction mysqli si tu as déjà filtré les caractères que tu acceptes quand ce n'est que des chiffres ou des lettres ou d'autres mais sans les usual suspects.
     
  6. manoa.ratefiarison
    manoa.ratefiarison WRInaute discret
    Inscrit:
    23 Janvier 2013
    Messages:
    100
    J'aime reçus:
    0
    Bonjour,

    Plus facile, utiliser PDO et préparer ses requêtes. Plus d'info : http://goo.gl/kUFGKi

    Mais je pense qu'il faudra refaire toute ta partie base de données dans ce cas ...
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 056
    J'aime reçus:
    294
    Attention parce que son astuce avec l'apostrophe et le stripslashes c'est une connerie ... car une seule quote va être passée uniquement lors de la query pour échapper mais sera pas enregistré dans la DB. Le gars avait probablement les magic quotes activées et donc 2 antislashes.
     
Chargement...
Similar Threads - Protection variable php Forum Date
Loi sur la protection du consommateur (California Consumer Privacy Act) Droit du web (juridique, fiscalité...) 18 Novembre 2019
Google Adwords - Protection de marque AdWords 12 Novembre 2019
Texte utilisation cookies et protection des données : pb de duplicate ? Débuter en référencement 8 Janvier 2019
Règlement européen sur la protection des données (RGPD) Droit du web (juridique, fiscalité...) 20 Avril 2018
Suite Réception mail Google protection de données Google Analytics 12 Avril 2018
Protection de mon site, de son contenu et de mes rédactions Droit du web (juridique, fiscalité...) 13 Février 2017
mentions legales formulaire web protection donnees Droit du web (juridique, fiscalité...) 9 Octobre 2016
Protection htaccess par IP+mot passe Administration d'un site Web 8 Juin 2016
Protection de fichiers via un .htaccess URL Rewriting et .htaccess 28 Avril 2016
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015