Discussion :

[Hs32-Idir]

Bonjour,
voila j'ai un Php pour DOWNLOAD sur mon site mais il semble qu'il dispose d'une faille SQL après avoir testé avec un outil, ma demande d'aide c'est :
qui peut me corriger ce PHP des failles SQL. Merci.

voici mon code :
download.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
if($sql_conn==true)
{
 $down_id=str_replace("",";",$_GET["id"]);
 $down_qq = "SELECT files.*,members.name AS m_name FROM files LEFT JOIN members ON members.id=files.uploader WHERE files.id=".$down_id;
 $down_q=mysqli_query($sql_conn, $down_qq);
 $names_type=array("Application","Module","Database","Tutorial",6 => "Randome",15 => "Tutorial",16 => "Database",17 => "Module",18 => "Application",19);              
 if ($down_what=mysqli_fetch_array($down_q))
  {
   ...... etc ....
 
 }
 
}
else
{
 mysqli_close($sql_conn);
}

[mathieu]

pour être mieux sécurisé par rapport aux injections sql, vous pouvez utiliser des requêtes préparées :
https://www.php.net/manual/fr/pdo.pr...statements.php

[Hs32-Idir]

Comme je suis nul en Php je n'arrive pas à l'implémenter avec mon exemple que je viens de poser en question. merci quand-même.

[Séb.]

Il faut échapper chacun des arguments avec mysqli_real_escape_string(), ici $down_id

Tu trouveras des exemples dans la doc : https://www.php.net/manual/fr/mysqli...ape-string.php

Si tu bloques transmet-nous tes tentatives afin qu'on puisse corriger.

[Hs32-Idir]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
................................
if($sql_conn==true)
{
 $sql_conn->set_charset('UTF-8');
 $down_id = $_GET["id"];
 $down_id = mysql_real_escape_string($down_id);
 $down_qq = "SELECT files.*,members.name AS m_name FROM files LEFT JOIN members ON members.id=files.uploader WHERE files.id=".$down_id;
 $down_q=mysqli_query($sql_conn, $down_qq);
  ...........
}

* J'ai dû faire ceci, mais dès que je clique sur le site sa ne fonctionne pas et aucune erreur n'apparaît, plutôt juste une page blanche.
* sachant que "id" est toujours numérique.

[Christophe]

Commences par utiliser error_reporting.

Comme ça vite fait je regarderais la requête, déjà il ne doit pas y avoir de guillemet de fermeture ni de point virgule. Affiches la valeur de $down_qq

Mets-toi aux requêtes préparées, un tutoriel très clair : https://fmaz.developpez.com/tutoriel...omprendre-pdo/