Sécurité nombre

18 juin 2012, 10:34

Bonjour,

J'aimerais savoir juste 1 chose...
Dans mes tables j'ai une valeur numérique, "3".
Or ce chiffre est égale au royaume, je l'affiche donc et je lui donne donc un nom via PHP.
Vu que c'est un chiffre, et que cette valeur est récupéré depuis mysql,
je suis obligé de mettre une protection des variables ?

Sachant que dans la la colonne il est obligé d'avoir un chiffre car aucun script ne modifie cette colonne.
Merci

18 juin 2012, 13:41

Parce que tu penses qu'une variable utilisée dans une requête peut ne pas être protégée ?
Libre à toi de faire ce que tu veux, mais dommage si quelqu'un s'en rend compte.

18 juin 2012, 16:20

J'ai peut-être mal compris mais si "3" vient de la bdd et qu'il est protégé à son entrée (ou si c'est le webmaster qui l'ajoute directement), je ne vois pas le problème potentiel.
Ce n'est pas l'user qui choisit la valeur donc pas de risque d'injection.

18 juin 2012, 19:24

Oui voilà sam c'est une valeur sur qui ne se modifie pas via un utilisateur donc je me demandais si il était nécessaires de mettre une protection x)
Désolé je m'exprime super mal ><

18 juin 2012, 19:29

Personnellement je ne vois en effet pas trop à quoi pourrait servir une vérification, même si on n'est jamais trop prudent. Après on peut toujours infiltrer ta base de donnée, modifier la structure de ta base et son contenu, mais bon dans ce cas une petite vérification ne sert quand même plus trop.

18 juin 2012, 19:33

Si cette valeur est utilisée dans une url et qu'à la suite tu l'utilise dans une requête elle peut tout à fait être modifiée.

18 juin 2012, 23:38

Aucune donnée passe par l'url sur la page ou les données numériques sont appelé ^^

19 juin 2012, 07:59

Je ne comprends pas "appelé".
En tout état de cause, les informations qui proviennent de $_POST, $_GET et $_FILE doivent être vérifiée. Il n'est pas inutile de vérifier également les cookies et même les sessions pour les plus parano.

19 juin 2012, 08:06

Sur la page je n'ai aucun aucun Get Post ni de File.
A priori il y aura pas de protection à mettre car in modifiable depuis le client.

@Mazarini Dans ma base de donnée j'ai des chiffres, ils sont sur et personne ne peu les modifiés, je fais donc une requête pour les avoirs.
Donc je me demandais si il était utile de protéger ça ^^

19 juin 2012, 13:36

Effectivement, pas besoin de protéger les nombres provenant de source fiable. Si d'autres lisent, il faut contrôler les string pour éviter les erreurs d'exécution en cas de présence de quote.

Edit : Après réflexion, il est pas mal de contrôler systématiquement pour éviter de se poser des questions, genre bourrin ^^

19 juin 2012, 14:20

D'accord, vaut mieux protéger quand même.
En plus sa évitera des oublies ^^

Sécurité nombre

Qui est en ligne