[SQL] strpos contre injection sql

**sam01** · 20/07/2006, 09h24

Bonjour,
j'aimerais sécurisé chaque champs d mon formualire en testant pour chaque champs la présence des caractères suivants : /%*#"' (j'en ai peut-être oublié...
n'hésitez pas à me le dire...)

je pense (mais je ne suis pas sûr) qu'il faut utiliser la fonction strpos.
Si vous pouviez me conseiller.
D'abord est-ce la bonne méthode?
et peut-on tester cela en une seule commande ou bien faut-il faire un strpos pour chaque caractère (un pour /, un pour % etc...)
Cette fonction est-elle efficace opur un champs numérique?

merci d'avance pour votre aide.

**Amara** · 20/07/2006, 09h26

Si tu veux préparer tes données en vue d'une insertion en base SQL il y a des fonctions pour ça (addslashes & co, cf la doc.).

Invité · 20/07/2006, 09h26

utilise des expressions regulieres, avec les addslashes avant dinserer etc

**Eusebius** · 20/07/2006, 09h27

Tu as des fonctions toutes faites pour ça, comme mysql_real_escape_string

**sam01** · 20/07/2006, 13h34

Mais les injections mysql ne se font uniquement lorsque dans la requête, on fait allusion à un password?

cela veut dire ma requête suivante par exemple ne peut pas avoir d'injection :

$sql = "insert into lldiffusion_clients(mail,pseudo,nom,prenom,mdp,ad_ligne1,ad_ligne2,ad_ville,civilite,telephone,ad_cp,ad_ip,nomf,prenomf,ad_ligne1f,ad_ligne2f,ad_cpf,ad_villef) values('$mail','$pseudo','$nom','$prenom','$mdp','$ad_ligne1','$ad_ligne2','$ad_ville','$civilite','$telephone','$ad_cp','$ip_en_cours','$nomf','$prenomf','$ad_ligne1f','$ad_ligne2f','$ad_cpf','$ad_villef')";
$req = mysql_query($sql);// or die('Erreur SQL : <br />'.$sql);

ou encore celle-ci :

$sql = 'SELECT id,marque,designation,categorie,resume_court,prix_ttc,disponibilite FROM lldiffusion_produit WHERE resume_long LIKE "'.$pa.'" OR designation LIKE "'.$pa.'"';

**Amara** · 20/07/2006, 13h36

Rien compris là par contre

Invité · 20/07/2006, 14h09

Envoyé par sam01

Mais les injections mysql ne se font uniquement lorsque dans la requête, on fait allusion à un password?

NON!!!, les injections se font du moment ou tu inseres/update/select/delete etc dans ta base des données .
1.Par exemple tu demandes a un utilisateur de laisser un avis sur un article que tu inseres ensuite dans ta base.
2. un utilisateur qui change ces infos
(a cherchant sur le net, tu trouveras dautres exemples)

Il faut meme prendre lhabitude de faire des addslshes pour tt insertion (meme celle qui te semblent inutiles) , c'est une bonne habitude à prendre