Discussion :

[erox44]

Hello, je suis en train de créer une petite fonction perso pour supprimer certains mots-clés SQL , voici ce que j'ai actuellement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$string = eregi_replace("[^:alpha:](select)|(drop)|(update)|(alter)|(create)|(insert)|(grant)|(revoke)[^:alpha:]", "", $string);

Mes phrases de test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$_POST["toto"] = " selection; select * from users;select * from users;";
$_POST["tot2o"] = "drop table toto; droppy !";
$_POST["tot2o3"] = " grant * on users; grannt";

Actuellement ça me sort ça apres traitement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[toto] => selection; * from users * from users; [tot2o] => table toto; py ! [tot2o3] => * on users; grannt

Il manque pas grand chose mais le mot clé "DROP" pose probleme là, vous voyez d'où ça peut venir?


merci.

[Bovino]

C'est destiné à quoi au juste ?
Parce que si c'est pour protéger tes bases, ce n'est pas la bonne façon de procéder...

le mot clé "DROP" pose probleme là

Non, c'est n'est le mot qui pose problème : le problème sera présent pour tous termes
Utilise les marqueurs de début et de fin de mot : \b.

[sabotage]

Je ne vois effectivement pas ce qui ne va pas dans ton expression (à part eregi qui est obsolète) mais sinon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo preg_replace("#\b(select|drop|update|alter|create|insert|grant|revoke)\b#", "", $string);

edit : encore doublé par bovino

[erox44]

Hello, merci pour vos réponses,
donc deja non, c'est pas pour sécuriser ma base, mais plus un complément.
Le but étant de supprimer uniquement les mots clés, et non les mots contenant ces mots-clés:

droppy => ne bouge pas.
drop * from toto => * from toto;



EDIT: avec ton pattern ca passe nickel Sabotage, merci, par contre faut rajouter \i à la fin pour une expression insensitive de tête non?

[erox44]

Voici l'expression finale, qui fonctionne nickel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$string = preg_replace("/\b(select|drop|update|alter|create|insert|grant|revoke)\b/i", "", $string);

merci à vous deux.