Bonjour,
Je crois, sans l'avoir fait exprès, avoir trouvé un moyen de sécuriser au maximum mon site contre des injections SQL.
Je suis novice et je cherche donc à savoir si cela me protège réellement. Je sais qu'il y a plus facile mais je souhaite fonctionner avec l'appel d'includes donc voici le principe de fonctionnement :
1) Je dote mon url d'un paramètre numérique : ?mapage=2
Ce "2" va servir à créer le code d'un include et donner ainsi <?php include('mapage-2.php'); ?>
2) "mapage-2.php" débarque alors avec une requête mysql personnalisée et toute prête
(sans variable, elle, donc) pour lire des données sur ma base.
3) Ainsi, la seule partie variable a un effet sur l'include, ce qui ne touche pas à la base donc puisqu'au pire, l'include ne s'affiche pas si la personne tente de faire une injection.
Qu'en pensez-vous ?
Je sais qu'il y a plus simple (avec "prepare" notamment) mais est-ce que ce canal, aussi bancal soit-il d'un point de vue organisationnel, permet de se protéger contre des injections ?
Merci d'avance à cette communauté.
En espérant pouvoir apporter mon lot d'aide dès que j'aurai un meilleur niveau.
Partager