Securité : htmlentities méthode $_Get RESOLU

WRInaute discret
Salut à tous, :D

J'aurais besoin d'un petit conseil niveau sécurité.
Sur mon site j'ai une galerie photo. Lorsqu'il y a plusieurs pages de photos, j'affiche des liens permettant de circuler d'une page à l'autre et ce avec la méthode $_Get que j'utilise pour envoyer l'id de l'album ainqi que le range d'images à afficher.

Y a t'il un risque niveau sécurité ?
Dois-je utiliser un htmlentities à chaque fois que j'utilise une variable provenant de _GET ?

Merci :D
 
WRInaute accro
Re: Securité : htmlentities méthode $_Get

Pour un nombre de page de pagination, pas besoin de htmlentities(), un is_int() me semble plus approprié.
(J'espère que pour tes INSERT/UPDATE mysql tu ne te contentes pas que de htmlentities())
 
WRInaute discret
Re: Securité : htmlentities méthode $_Get

Si c'est pour utiliser dans une requete SQL, sert toi de mysql_real_escape_string()
 
WRInaute accro
Re: Securité : htmlentities méthode $_Get

Netek a dit:
Si c'est pour utiliser dans une requete SQL, sert toi de mysql_real_escape_string()
Aussi oui, mais à partir du moment où on sait que le $_GET['page'] est un int, c'est presque inutile (je ne connais pas de faille d'injection SQL avec un int).

De plus, toujours pour mysql, il ne faut pas enregistrer les entités HTML dans la table. C'est à l'affichage qu'il faut faire le htmlentities().
 
WRInaute discret
Re: Securité : htmlentities méthode $_Get

Non t'inquiètes je sécurise mes INSERT et UPDATE avec mysql_real_escape_string.

Merci pour l'info concernant les is_int. Je vais faire ça.

:D :D
 
WRInaute discret
En gros tu dois utiliser htmlentities sur une variable $_GET ou $_POST dans le cas ou tu compte l'afficher ( c'est vrai que pour une variable numerique suffit juste de tester si elle est bien numérique )
 
Discussions similaires
Haut