Discussion :

[elizabeth]

Bonjour,

l'un de mes sites a été victime d'un piratage, par injection d'une requête php.
ça ne m'était jamais arrivé auparavant, je cherche donc une solution pour sécuriser tout ça.

l'injection a permis d'accéder aux identifiants de connexions de la base de donnée.

ma question est donc la suivante :
si je remplace ma page de connexion par un htacces htpasswd, cela permettra donc de ne plus donner l'accès à la base de donnée des identifiants. est-ce que cela sera suffisant ?

dois-je revoir d'autres pages dans mon admin aussi ?

d'avance merci

[hariman]

Bonjour,

Utilise la fonction mysql_real_escape_string() sur les valeurs obtenues à partir d'un formulaire. Cela permet d'éviter l'insertion de codes sql dans les valeurs d'un formulaire.

[onesat]

Exemples

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
//connexion à la base donnée
	$connexion=mysql_connect("localhost", "root", "" )or die("cannot connect" );
	mysql_select_db("basedugenie" )or die("cannot select DB" );
	mysql_query("SET NAMES 'utf8'" );
 
$pseudo=mysql_real_escape_string($_POST["Pseudo"]);
		$email=mysql_real_escape_string($_POST["Email"]);
		$motdep=mysql_real_escape_string($_POST["pwd1"]);

[Tsilefy]

Il vaut mieux éviter les fonctions mysql_* désormais, préferez à la place PDO ou mysqi, et utilisez des requêtes préparées. Zéro risque d'injection dans ce cas.

Et pour nettoyer ou valider les données au besoin, utilisez les filters.