Discussion :

[Cheorches]

J'ai un formulaire dont je veux ecrire les résultat dans ma base. Jusque là rien d'extrordinaire me direz vous...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$sql = "INSERT INTO commandes(date_command,tarif,date_depart,heure_depart,adresse_depart,ville_depart,adresse_arrivee,ville_arrivee,nb_personne,commentaire) VALUES('$date_command','$prix_valid','$date_valid','$heure_valid','$adresse_depart','$ville_depart','$adresse_arrivee',
'$ville_arrivee','$nb_valid','$commentaire')";
 
 
    // on insère les informations du formulaire dans la table
    mysql_query($sql) or die('Erreur SQL !'.$sql.'<br>'.mysql_error());

Le problème c'est que je ne veux pas qu'on puisse y rentrer n'importe quoi (code, injection SQL, ou simplement une apostrophe simple...).

Mes recherches dans mon bouquin et sur le net sont assez contradictoires.

Chacun y va de son conseil qui démonte celui de l'autre.

Donc selon vous, quels serait la meilleur façon, aujourd'hui de securiser mon code ?

[sabotage]

J'aimerais bien savoir ce que tu as pu trouver comme information contradictoires.

Il est recommandé d'utiliser PDO ou myslqi et des requêtes préparées.

[ABCIWEB]

Comme sabotage, je n'ai pas lu non plus d'informations contradictoires... ?

Avec ton code actuel tu devrais utiliser "mysql_real_escape_string" sur chacune de tes variables. L'information sur les injection se trouve justement dans la doc de la fonction.

En bref il faut toujours protéger ses variables (ici dans la clause "values"). Pour les requêtes non préparées on utilise les fonctions "mysql_real_escape_string" avec mysql, "mysqli_real_escape_string" avec mysqli, et la fonction "quote" avec pdo.

Avec mysqli ou pdo, une autre façon de protéger encore plus efficacement les variables est d'utiliser les requêtes préparées. Dans ce cas on utilise aucune des fonctions précédemment citées car c'est le processus de la préparation (abstraction) qui fait office de protection.

Dans ton cas, étant donné que tu n'utilise pas de requête préparée (mysql ne les supporte pas nativement), et que tu n'utilise pour l'instant aucune fonction pour protéger tes variables, ta requête en l'état n'est pas sécurisée.

Pour le reste tu peux constater qu'on déconseille d'utiliser l'extension mysql pour les nouveaux projets. Il vaut donc mieux choisir mysqli ou pdo.

[moudjahidine]

Tu peux aussi utiliser le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities

pour protéger tes variables.
Si tu as une version PHP 5.5.0 alors la fonction "mysqli_real_escape_string" ne te servira pas à grande chose car obsolète.
La solution idéale comme l'a écrit Sabotage et ABCIWEB c'est de passer à PDO ou Mysqli.

[papajoker]

Tu peux aussi utiliser htmlentities pour protéger tes variables.

htmlentities() ne doit pas être utiliser pour une protection contre l'injection, donc on ne l'utilise pas sur des données à insérer dans une table.
Par contre il peut-être utilisé pour une protection XSS, donc pour un affichage après avoir récupéré les données de la table.

mysqli_real_escape_string n'est pas obsolète.
mysql_real_escape_string est obsolète, ce qui signifie qu'il fonctionne encore ! mais dans le futur

[ABCIWEB]

+1 pour confirmer qu'on utilise pas htmlentities pour protéger des variables lors de l'insertion dans une bdd. En faisant ainsi on rend impropre l'exportation des données sans traitement préalable, on rend impossible la recherche insensible aux caractères accentués, et on encombre la table avec des caractères inutiles.

htmlentities ne doit être utilisé que lors de l'affichage, typiquement dans un echo.