Discussion :

[jrmourad]

Bonjour
je viens de scanner mon site avec Acunetix, et je découvre plusieurs pb de type blind sql injection
sur le forum j'ai lu qu'il faut utiliser des raquettes préparées mais je n'arrive pas à appliquer sur mon code, mon pb c'est la variable $where
ci-après un extrait de mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
try{
   $where='';
	if($test1!='')$where.=' AND code1=\''.$test1.'\' ';
	if($test2!='')$where.=' AND code2=\''.$test2.'\' ';
	if($test3!='0000000') $where.=' AND code3=\''.$test3.'\'';
$reponse = $bdd->query('select * from v_fiche where etat =0 AND etat_t=\'prep\' '.$where.' ORDER BY date  DESC LIMIT '.$debut.','.$nb_affichage_par_page.'');
}

merci