Discussion :

[pitchounvivi]

Bonjour,

j'aimerai vos avis, conseils sur la sécurité.

J'aimerai l'améliorer dans mon code actuel.

- j'ai déjà mis une "micro" protection (failleXSS) dans mon ajax avec

Code JS :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
//on protège un peu l'url
    var yearURI = encodeURIComponent(annee);
    var monthURI = encodeURIComponent(mois);
    var acronymeURI = encodeURIComponent(acronyme);

- je voudrais faire une protection contre les injections SQL

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
function sanitize_string($str) {
	if (get_magic_quotes_gpc()) {
		$sanitize = mysqli_real_escape_string(stripslashes($str));	 
	} else {
		$sanitize = mysqli_real_escape_string($str);	
	} 
	return $sanitize;
}

mais je ne sais pas trop où le mettre : controller ou model (je suis en MVC, mais les requêtes se font dans les classes modèles).

-j'ai aussi ça ... mais on est d'accord que ça ne protège pas beaucoup non plus

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
public function bindParam($param, $valeur){
        $type = "";
        if(is_int($valeur))
            $type = PDO::PARAM_INT;
        if(is_string($valeur))
            $type = PDO::PARAM_STR;
        if(is_null($valeur))
            $type = PDO::PARAM_NULL;
        if(is_bool($valeur))
            $type = PDO::PARAM_BOOL;
        $this->requete->bindValue($param, $valeur, $type);
    }

- d'autre idée ?