Le casting protège vraiment contre les injections sql? [Résolu]

reacen · 05/07/2011, 16h58

Bonjour,

J'aimerais savoir si le casting en int (en PHP) protège complètement contre les injections sql? Voici un exemple de ce que je veux dire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$var = (int)$_GET['var'];
mysql_query("SELECT pass FROM comptes WHERE id={$var} LIMIT 1;");

Est-ce qu'il y a un moyen qu'une personne puisse jouer un peu avec la method GET et contourner la sécurité du PHP (en profitant d'une faille PHP par exemple: avec des caractères spéciaux %00, etc) pour que $var finisse par contenir du text qui vise à s'introduire dans ma requête SQL ?

La façon dont j'ai écris le code, est-elle bien sécurisée? Pas besoin de mysql_real_escape_string() dans ces cas là?

jreaux62 · 05/07/2011, 17h44

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

Mais pourquoi se tirer une balle dans le pied en se privant de mysql_real_escape_string() ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   mysql_query("SELECT pass FROM comptes WHERE id='".mysql_real_escape_string($_GET['var'])."' LIMIT 1;");

stealth35 · 05/07/2011, 17h47

Citation:

Envoyé par jreaux62

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

les variables de $_GET sont toujours du type string ...

reacen · 05/07/2011, 18h02

Citation:

Envoyé par jreaux62

Tu peux toujours faire un test avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if( is_int($_GET['var']) ) {
   mysql_query("SELECT pass FROM comptes WHERE id='".$_GET['var']."' LIMIT 1;");
}
?>

Mais pourquoi se tirer une balle dans le pied en se privant de mysql_real_escape_string() ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   mysql_query("SELECT pass FROM comptes WHERE id='".mysql_real_escape_string($_GET['var'])."' LIMIT 1;");

Merci pour vos réponses.

mysql_real_escape_string() c'est un peu long à taper, et pas très agréable à lire dans son code. Surtout coté optimisation j'ai l'impression que le casting iras plus rapide.

J'ai coder un petit site en se basant complètement sur le cast en (int). (Le escape_string seulement pour les entrés string), devoir changer ça va me prendre du temps, je cherche juste à savoir si c'est sécurisé ou pas.

stealth35 · 05/07/2011, 18h03

utilise de vrais extensions comme mysqli ou PDO si tu veux faire les choses bien

reacen · 05/07/2011, 19h49

On a toujours pas répondu à ma question

Ma technique elle est sécurisée à 100% ou pas, s'il vous plait ?

stealth35 · 05/07/2011, 20h34

Citation:

Envoyé par reacen

Ma technique elle est sécurisée à 100% ou pas, s'il vous plait ?

oui

reacen · 05/07/2011, 21h56

Citation:

Envoyé par stealth35

oui

Merci

Je compte sur ça.

transgohan · 06/07/2011, 08h10

Est-elle sécurisée ? Oui elle n'insérera qu'un entier.
Est-elle viable ? Non car elle t'insérera n'importe quoi.

Essayes de passer une chaîne de caractère à la place d'un entier, ta requête se ferra tout de même avec un entier correspondant au code ascii de la première lettre de la chaîne (ou un truc du genre).

kaymak · 15/07/2011, 22h06

Citation:

Envoyé par transgohan

Essayes de passer une chaîne de caractère à la place d'un entier, ta requête se ferra tout de même avec un entier correspondant au code ascii de la première lettre de la chaîne (ou un truc du genre).

hello,

Citation:

Envoyé par http://www.php.net/manual/fr/language.types.string.php#language.types.string.conversion

...
Ne vous attendez pas à récupérer le code d'un caractère en le convertissant en entier, comme cela est possible en C. Utilisez la fonction ord() et la fonction chr() pour convertir les caractères en codes ASCII.

string -> int est égal à 0.

a+

transgohan · 18/07/2011, 08h28

Citation:

Envoyé par kaymak

hello,
string -> int est égal à 0.
a+

Pas du tout...

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php  
$string = "5test";
echo (int)$string;
?>

Citation:

5

05/07/2011, 18h03	#5
stealth35 Modérateur Inscription : septembre 2010 Messages : 7 103 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 7 103 Points : 8 456 Points : 8 456	utilise de vrais extensions comme mysqli ou PDO si tu veux faire les choses bien __________________ http://blog.stealth35.com/
	10

06/07/2011, 08h10	#9
transgohan Membre Expert Baptiste ROUSSEL Étudiant Inscription : janvier 2011 Messages : 806 Détails du profil Informations personnelles : Nom : Baptiste ROUSSEL Localisation : France, Territoire de Belfort (Franche Comté) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2011 Messages : 806 Points : 1 520 Points : 1 520	Est-elle sécurisée ? Oui elle n'insérera qu'un entier. Est-elle viable ? Non car elle t'insérera n'importe quoi. Essayes de passer une chaîne de caractère à la place d'un entier, ta requête se ferra tout de même avec un entier correspondant au code ascii de la première lettre de la chaîne (ou un truc du genre). __________________ Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.
	12

05/07/2011, 19h49	#6
reacen Invité de passage Inscription : mai 2011 Messages : 17 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : mai 2011 Messages : 17 Points : 3 Points : 3	On a toujours pas répondu à ma question Ma technique elle est sécurisée à 100% ou pas, s'il vous plait ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email