Bonjour.
Je viens de faire la découverte de ceci : "mysql_fetch_object" et je viens tout juste de créer un script qui modifie des données dans la base de données.
Je voudrais savoir si mon script est biens sécurisé.
J'apprécierais de l'aide afin de savoir si j'ai pas oublié un élément pour sécuriser mon code.
Une note en passant, je test avec un addon de firefox pour les injections sql et les xss. Ça dit aucune faille mais les données dans la base changent quand même sur tous les ID.
J'ai besoin d'un avis. Merci. Si j'ai une faille, j'apprécierais de la combler.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48 <?php $db = mysql_connect("localhost","root","pass") or die("cannot connected"); @mysql_select_db("origami",$db); if(isset($_POST['id']) && isset($_POST['titre']) && isset($_POST['desc'])){ $uid=mysql_real_escape_string($_POST["id"]); $utitre=mysql_real_escape_string($_POST["titre"]); $udesc=mysql_real_escape_string($_POST["desc"]); $requete = mysql_query("UPDATE `ori_images` SET `titre`='$utitre',`desc`='$udesc' WHERE `id`='$uid'"); if($requete){ echo("La modification à été correctement effectuée") ; } else{ echo("La modification à échouée") ; } } $id=$_GET['id']; $requete=mysql_query("SELECT * FROM ori_images WHERE id='$id'"); if($result=mysql_fetch_object($requete)){ echo $result->id; ?> <h3>Edit</h3> <form method="POST" action=""> <input type="hidden" name="id" value="<?php echo htmlspecialchars($result->$id); ?>"> titre: <input name="titre" size="80" value="<?php echo htmlspecialchars($result->titre); ?>"><br><br> desc: <textarea name="desc" rows="5" cols="80"><?php echo htmlspecialchars($result->desc); ?></textarea><br><br> <input type="submit" name="submit" value="update"> </form> <?php } ?> <a href="admin.php">Admin</a> </body> </html>
Au lieux de créer deux fichier pour modifier les données, j'ai fait pour que ça soit dans le même fichier : La modification et le résultat.
Normalement, j'aurais le formulaire dans un fichier et le traitement dans le deuxième. Mais je trouvais que ça irait mieux en un seul fichier.
Partager