[Sécurité] controle des données

nath-0-0 · 23/05/2006, 19h29

bonjour,

j'aimerais savoir si vous faites le controle de donnée à chaque fois que c'est possible meme si vous etes certain de la validite de votre donnee.
Par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 $sql ='Select fkUser FROM recherche WHERE idRecherche ='.$idRecherche;

lorsque la relation entre les deux table est USER 0,N 1,1 Recherche

Car on a beau etre certain on ne sait jamais, non?

Vérifier vous egalement que:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (isset($_GET['Order']))$order=$_GET['Order'];

et comment traiter vous les erreurs?
qu aurait t'il a verifier egalement?

merci pour vos commentaires

gorgonite · 23/05/2006, 19h32

déjà as-tu activé les magic_quote ?

si non, il faut penser aux addlslashes ou mysql_real_escape_string...

nath-0-0 · 23/05/2006, 19h48

ca c'est deja géré

exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
        if (!get_magic_quotes_gpc()){
            $ef_nom=addslashes($ef_nom); 
            $ef_prenom=addslashes($ef_prenom); 
            $ef_tel=addslashes($ef_tel); 
            $ef_portable=addslashes($ef_portable); 
            $ef_email=addslashes($ef_email); 
            $ef_emailc=addslashes($ef_emailc); 
            $sqlRech=addslashes($sqlRech); 
        }

stunti · 23/05/2006, 22h43

cela ne t'empeche pas de tester meme si tu es "sure" de tes donnees.
On est jamais sure de ses donnes. Une requete peut avoir plante et avoir rempli des donnees pourrit.

Alors un petit test ou un petit cast sur les id, ca ne fait pas de mal.

nath-0-0 · 30/05/2006, 13h14

un cast???

kesako?

sinon quels sont les controles a ne pas oublier de faire?

wamania · 31/05/2006, 14h04

cast (transtypage):
Pour les id, ça veut dire que tu forces le fait que ce soit des chiffres
tu vérifie avec is_number()
tu cast avec intval

23/05/2006, 19h32	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	déjà as-tu activé les magic_quote ? si non, il faut penser aux addlslashes ou mysql_real_escape_string... __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

23/05/2006, 22h43	#4
stunti Membre chevronné Inscription : mai 2006 Messages : 521 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : mai 2006 Messages : 521 Points : 602 Points : 602	cela ne t'empeche pas de tester meme si tu es "sure" de tes donnees. On est jamais sure de ses donnes. Une requete peut avoir plante et avoir rempli des donnees pourrit. Alors un petit test ou un petit cast sur les id, ca ne fait pas de mal. __________________ If it's not broken, don't fix it. BiliBa Built on top of Zend Framework
	00

30/05/2006, 13h14	#5
nath-0-0 Membre actif Inscription : novembre 2005 Messages : 537 Détails du profil Informations forums : Inscription : novembre 2005 Messages : 537 Points : 198 Points : 198	un cast??? kesako? sinon quels sont les controles a ne pas oublier de faire?
	00

31/05/2006, 14h04	#6
wamania Rédacteur Développeur Web Inscription : juillet 2003 Messages : 676 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juillet 2003 Messages : 676 Points : 678 Points : 678	cast (transtypage): Pour les id, ça veut dire que tu forces le fait que ce soit des chiffres tu vérifie avec is_number() tu cast avec intval
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email