Formulaire et protection contre injection [Fait] [Résolu]

[Overstone]

Bonjour,

J'ai réalisé un formulaire qui envoi des donnees dans ma bd, 5 données de type texte, une donnée de type textbox et un envoi de type file.

J'aimerais protéger au maximum mon formulaire contre l'injection de script.

Seulement je ne sais pas si je dois formater mes données avant leurs envoi sur sql ou aprés lors de l'affichage des données dans mon site ???

Quesqui est le plus éficase d'aprés vous ??

[jbrasselet]

Il faut que tu sécurises tes données avant de les envoyer dans ta BD. C'est ce qu'il y a de mieux.
Il y a pas mal de chose comme ça déjà sur le forum. Tu devrais pouvoir trouver facilement les actions à réaliser.

[trotters213]

Pouéviter les injections SQL tu peux activer magic_quotes_gpc dans ton php.ini ou alors si magic_quotes_gpc n'est pas activé, tu peux utiliser mysql_real_escape_string sur chacune de tes variables que tu passes en paramètres dans ta requête SQL.

Une injection SQL est normalement une injection de bout de code par l'utilisateur dans ta requête afin de modifier la requête elle-même et non pas les valeurs pour accéder à des infos normalement inaccessible. C'est assez rare en PHP tout de même mais il faut tout de même s'en protéger. Regarde ce post. Donc à l'affichage il ne peut rien t'arriver de bien fantastique

[Overstone]

ok, je pense avoir compris, mais par exemple quand dans mon formulaire je tape la balise <b>texte<b> mon texte dans l'admin et sur mon site est en gras.

Comment éviter sa ???

[koopajah]

Tu peux utiliser strip_tags() pour retirer toutes balises HTML et PHP d'une chaine.

[Overstone]

J'ai utilisé strip_tags() comme me la conseillé koopajah sur tout mes echos sensible, est-il possible de se contenter de cette sécurité ????

[koopajah]

Citation:

Envoyé par Overstone

J'ai utilisé strip_tags() comme me la conseillé koopajah sur tout mes echos sensible, est-il possible de se contenter de cette sécurité ????

Non il faut aussi te protéger des injections SQL et donc utiliser mysql_real_escape_string()

[Overstone]

Si ma bd ne contient qu'une info confidentiel j'utilise mysql_real_escape_string() que sur cette valeur ???

[koopajah]

Citation:

Envoyé par Overstone

Si ma bd ne contient qu'une info confidentiel j'utilise mysql_real_escape_string() que sur cette valeur ???

Non, ca n'a rien a voir avec les infos confidentielles: definition
Tu dois l'utiliser sur tous les champs texte que tu insères dans la base (voir les autres si tu ne fais pas de vérification dessus)
en gros tu dois vérifier tout ce qui est saisi par l'utilisateur.

[Overstone]

Ok Je dois placer mysql_real_escape_string() avant ou aprés l'envoi vers ma bd ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
// insertion dans base de donnée 
$sql = "INSERT INTO demande VALUES ( '".$id."', '".$site."', now(), '".$langue[0]."', '".$ip."', '".$mail."', '".$libre."', '".$url."', '".$genre."', '".$langueURL."', '".$describ."', '".$final."', '".$taille."', now())";
$res = mysql_query($sql) or die(mysql_error());

car j'ai du mal à comprendre les exemples

[koopajah]

Exemple sur les trois premiers:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "INSERT INTO demande VALUES ( '".mysql_real_escape_string($id)."', '".mysql_real_escape_string($site)."', now(), etc.

[Overstone]

Voila tout marche nikel
Ya t'il encore quelque chose que je pourais faire pour avoir une sécurité un peu plus accru ... sans vouloir aller trop loin

sinon je manipule des données dans mon admin et je fait des requetes dans ma partit client, je dois me protéger même là ?