Discussion :

[berceker united]

Bonjour.
Actuellement je suis en train de concevoir une application qui pourra fonctionner plusieurs type de SGBD. SqlServer et Mysql 4 et 5 par la suite Postgresql. Mon souci premier c'est déviter le plus possible le risque d'injection SQL de manière plus générique. Sous mysql c'étais simple (selon certain) il suffit d'utiliser mysql_real_escape_string mais si je suis sous SQL Server je ne sais pas si c'est judicieux de l'utiliser surtout qu'il se comporet un peut différement. Il y a aussi addslashes mais est-ce suffisant.
Quel est la meilleur alternative? Faire soit-même une fonction qui arrive a zapper tous élément suspect. (il faut que je puisse les référencer) ou utiliser malgré tous les fonctions proposé?

[NoT]

Lut,

Le meilleur moyen de contrer les injections est de vérifier chaque valeur passée dans une requete, par rapport au type que tu attends, exemple t'as une variable $age qui provient d'un formulaire de saisi, avant de le faire communiquer avec ta base, vérifie bien que ce soit un entier. (fonction is_int() )

Wola

[berceker united]

Oui pour ça je suis entierement daccord. mais il est possible que de controler que deux type pour ça. si c'est int ou boolean. le danger provient des chaines de caractères ou il faut que je puisse interdire certaine suite comme :
--
'
=
etc...

[Petibidon]

hello,

si tu fais ton appli avec php5, utilise PDO et les requetes préparées... elles protegent automatiquement les données. c'est pratique.

par contre avec php4 ca risque d'etre un peu plus compliqué.

[berceker united]

Apparement c'est une extension mais le problème c'est que c'est application qui sera distribué donc je ne sais pas ou il sera installé et quel config donc je dois faire l'application avec le minimum d'élément exterieur à rajouter. Il faut que ça puisse fonctionner avec les config de base de php5.