Mmh, puisque tu es sous 5.2, pourquoi ne pas utilser [url=http://php.net/manual/ref.filter.php]l'extension dédiée au filtrage[/url] ?

d'accord

merci bien

$var = (int) $_POST['var'];

Bonjour,

le [i]casting[/i] (transtypage dans la langue de Molière) est évidement l'une des meilleures méthodes pour se protéger. Si tu veux travailler sur des entiers, tu peux appliquer une expression régulière pour enlever tout ce qui n'est pas des chiffres, mais ce serait un filtre. Si tu ne veux pas filtrer, mais forcer le typage, alors faire un [i]cast[/i] me paraît le plus conseiller.

Pour des économies d'écritures, tu peux faire :
[php]$var = (int) $_POST['var'];[/php]

Il faut voir en fonction des cas. Si tu veux une chaîne de caractères, faire un [i]cast (string)[/i] sur une chaîne ne va pas sécuriser grand chose. Et il faut voir si tu veux filtrer ou non. Mais le [i]cast[/i] reste de loin la meilleure méthode amha.

$var=$_POST['var'];
$var=(int)$var

Bonjour

j'aurais besoin de votre avis
je me penche beaucoup sur la sécurité de mon site et je voulais savoir si, pour protéger mon site contre les injections sql, vous feriez comme moi :

pour les variable qui doivent etre des nombres dans mon schéma de données, pour empécher une injection, ce que je fais c'est que je le force en int :

[php]
$var=$_POST['var'];
$var=(int)$var
[/php]

pensez vous que c'est une bonne méthode ?

merci