[PHP 5.3] suppression de certains mots clés SQL [Résolu]

erox44 · 20/12/2012, 15h34

Hello, je suis en train de créer une petite fonction perso pour supprimer certains mots-clés SQL , voici ce que j'ai actuellement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$string = eregi_replace("[^:alpha:](select)|(drop)|(update)|(alter)|(create)|(insert)|(grant)|(revoke)[^:alpha:]", "", $string);

Mes phrases de test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$_POST["toto"] = " selection; select * from users;select * from users;";
$_POST["tot2o"] = "drop table toto; droppy !";
$_POST["tot2o3"] = " grant * on users; grannt";

Actuellement ça me sort ça apres traitement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[toto] => selection; * from users * from users; [tot2o] => table toto; py ! [tot2o3] => * on users; grannt

Il manque pas grand chose mais le mot clé "DROP" pose probleme là, vous voyez d'où ça peut venir?

merci.

Bovino · 20/12/2012, 15h48

C'est destiné à quoi au juste ?
Parce que si c'est pour protéger tes bases, ce n'est pas la bonne façon de procéder...

Citation:

le mot clé "DROP" pose probleme là

Non, c'est n'est le mot qui pose problème : le problème sera présent pour tous termes

Utilise les marqueurs de début et de fin de mot : \b.

sabotage · 20/12/2012, 15h53

Je ne vois effectivement pas ce qui ne va pas dans ton expression (à part eregi qui est obsolète) mais sinon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo preg_replace("#\b(select|drop|update|alter|create|insert|grant|revoke)\b#", "", $string);

edit : encore doublé par bovino

erox44 · 20/12/2012, 15h56

Hello, merci pour vos réponses,
donc deja non, c'est pas pour sécuriser ma base, mais plus un complément.
Le but étant de supprimer uniquement les mots clés, et non les mots contenant ces mots-clés:

droppy => ne bouge pas.
drop * from toto => * from toto;

EDIT: avec ton pattern ca passe nickel Sabotage, merci, par contre faut rajouter \i à la fin pour une expression insensitive de tête non?

erox44 · 20/12/2012, 16h42

Voici l'expression finale, qui fonctionne nickel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$string = preg_replace("/\b(select|drop|update|alter|create|insert|grant|revoke)\b/i", "", $string);

merci à vous deux.

20/12/2012, 15h53	#3
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 16 466 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 16 466 Points : 21 273 Points : 21 273	Je ne vois effectivement pas ce qui ne va pas dans ton expression (à part eregi qui est obsolète) mais sinon : Code : Sélectionner tout - Visualiser dans une fenêtre à part echo preg_replace("#\b(select\|drop\|update\|alter\|create\|insert\|grant\|revoke)\b#", "", $string); edit : encore doublé par bovino
	00

20/12/2012, 15h56	#4
erox44 Membre actif Développeur Web Inscription : avril 2007 Messages : 357 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : avril 2007 Messages : 357 Points : 164 Points : 164	Hello, merci pour vos réponses, donc deja non, c'est pas pour sécuriser ma base, mais plus un complément. Le but étant de supprimer uniquement les mots clés, et non les mots contenant ces mots-clés: droppy => ne bouge pas. drop * from toto => * from toto; EDIT: avec ton pattern ca passe nickel Sabotage, merci, par contre faut rajouter \i à la fin pour une expression insensitive de tête non? __________________ L'intelligence c'est comme la confiture, moins tu en as , plus tu l'étales...
	00

20/12/2012, 16h42	#5
erox44 Membre actif Développeur Web Inscription : avril 2007 Messages : 357 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : avril 2007 Messages : 357 Points : 164 Points : 164	Voici l'expression finale, qui fonctionne nickel : Code : Sélectionner tout - Visualiser dans une fenêtre à part $string = preg_replace("/\b(select\|drop\|update\|alter\|create\|insert\|grant\|revoke)\b/i", "", $string); merci à vous deux. __________________ L'intelligence c'est comme la confiture, moins tu en as , plus tu l'étales...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email