Forum d'entraide PHPFrance

Bonjour,

je me pose la question suivante :

Pour éviter les attaques (sql injection, détournement de requête, etc) quelles sont les vérifications à effectuer sur les formulaires ?

addslahes, stripslashes, html_entities, etc... pour avoir une sécurité disons accrue... et éviter d'avoir en BDD des textes du type :
bonjour je m\'apelle Henry dit le \"Breton\"...

Merci !

Bonjour,

Si c'est pour protéger ta Bdd, en MySql et PostgreSQL, il existe une fonction qui échape directement les données et fais l'opération inverse lors du select

Mysql :

mysql_escape_string()

PostgreSQL :

pg_escape_string()

Voila, une partie de réponse en tous cas

Ok merci pour ta réponse...
y a t-il dautre fonctions dont vous vous servez personellement (couplé par exemple - l'une à la suite de l'autre pour x raisons) pour protéger les insertions, etc ?

Merci !

Regarde donc ce tuto, tu y trouveras spurement des éléments imstructifs en la matière.

salut cyrano,

j'ai lu l'article et justement je ne veux plus me servir des magics quotes, je voulais donc savoir un peu ce que faisait les autres développeurs pour protéger les données...

pour prendre de bonnes habitudes tout de suite !

Merci !

Cyrano t'as donné la bonne adresse...
Autrement, tout dépend des contrôles sur les champs que tu veux faire... Donc, pour échapper les caractères spécieaux qui peuvent poser problèmes, il n'y a pas 36'000 solutions ! addSlashes(); pour ajouter les échappement de caractère et stripSlashes(); pour les enlever.. Autrement, si tu veux échappé les envois de HTML ou de PHP dans l'envois de donnée il y a strip_tags();

Voilà... A par cela c'est à toi de voir les contrôle que tu veux faire et de trouver les bonnes méthodes

salut !

c'est pas possible d'avoir quelques exemples de la façon dont vous vous servez des fonctions suivant les cas... ?

Le code montré dans le tuto mentionné ne suffit donc pas ?

euh je vais me faire taper sur les doigts si je dis non ? 8)

bé dans ce cas, soit plus précis !! Explique nous clairement ce que tu veux... Et pourquoi pas, nous donner tes lignes de codes que tu veux protéger...

A moins que tu postes ces message rien que pour poster et voir comment les modo vont réagir..

Des exemples précis :

un formulaire d'upload de photos, fichiers...
- vos techniques pour vérifier les extention, taille, etc pour ne pas pouvoir tricher.

un formulaire d'inscription classique
- quelles fonctions utilisez vous pourquoi celle-ci et pas une autre ?

un formulaire de log
- quelles vérifications effectuez-vous ? (expressions régulières, autres, ...) pourquoi ?

- la protection de vos variables sessions... comment vérifiez-vous que c'est le bon utilisateur par exemple...

voici quelques exemples

personne ?

lol
Tu me fais rire avec tes exemples lol
Chaque programmeur réalise son programme suivant ce qu'il doit contrôler et ce n'est pas pareil pour chaque programme, car chaque programme est d'une certaine manière unique et suit les demande qui doivent être contrôlée... Je te conseil d'une part de te faire un plan d'execution et de t'aider avec la doc. Ensuite, lorsque tu sera en train de réaliser ton programme et que tu as une question, venir la poser ici.. Il faut savoir se documenter et chercher ce que l'on a vraiment besoin et pas attandre sur les autres..

non mais je ne compte sur personne...

Je veux juste comparer les façons de programmer c'est tout !

Tu ne peux comparer ce genre de contrôle... Car comme je le disais dans mon message précédent, chacun doit réaliser son programme suivant les résultats désirés... Le mieux serait de présenter tes codes et de demander conseil. Là, les personnes pourront t'exposer leurs codes s'ils correspondent au tien.