Commentaires - Les bases des Injections SQL

Vamp, le 18/09/2007 :

Good game Trance, très bien expliqué la source est prèsente donc c'est impec' !!

Psykocrash, le 29/01/2007 :

En relisant cet article, j'ai eu l'idée d'un bout de code à placer en début de code et qui vous évitera bien des soucis :

<?php

function secureArray (&$item)
{
if (is_array($item)) array_walk ($item, 'secureArray');

else $item = htmlspecialchars($item);
}

secureArray($_POST);

secureArray($_GET);

?>

PS : J'ai choisis la fonction htmlspecialchars() (protection contre le XSS) pour ne pas avoir à établir une connexion à une base de données pendant le développement de ce petit script, mais remplacez la par mysql_real_escape_string() pour vous protéger contre l'SQL Injection.

Have Fun :)

Réponse :

Bonne idée :) Mais il ne faut pas oublier que même avec cette protection, certaines failles sont encore exploitables. Par exemple dans le cas des injections SQL où il n'est pas nécessaire d'utiliser d'apostrophe... où pour les XSS où aucune balise n'est requise (exemple de l'attribut "onerror" de la balise "img").
En fait il faut vraiment faire au cas par cas, et tenter d'exploiter soi même la faille dans la situation donnée pour juger de la protection ;)

Crisis, le 18/07/2006 :

Merci pour ce tuto, j'ai appris des trucs que j'avais pas vu dans d'autre tuto :)
Continuez sur cette voie, le site est vraiment bien :)

Inconnu, le 15/07/2006 :

Exellent tutorial ;) Franchement bravo !
Bien expliqué et tout commes les autres d'ailleurs :)
Pour la sécurisation j'aurais tout de même parler de is_numeric pour les variables numériques.

Sinon bravo ! Continuez votre splendide taff =)