Discussion :

[styck007]

Bonjour,
J'utilise angular avec php/mariadb/mysql

ma question est simple , est-ce que la fonction prepare et bindParam suffit en php afin d'éviter les désagréments d'injection et autre bidulerie de hackeur ou bêtise utilisateur ?

un fichier php de ce genre suffit ou il faut nettoyer $donnees->toto reçu par le front-end?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
$Reception = file_get_contents("php://input");
$donnees = json_decode($Reception);
$sql = "update blablablabla";   
 
$database = new Database();
$connexion = $database->getConnection();
$query = $connexion->prepare($sql);
$query->bindParam(1, $donnees->toto);
$query->execute();

merci par avance de vos réponses ...

[binarygirl]

Il faudrait un exemple un peu plus réaliste. Est-ce que tous les arguments de la requête seront paramétrés ?
A part ça, ça devrait être "safe", mais le code peut planter quand même, par exemple si certains éléments ne sont pas présent dans le JSON.
Ceci dit, il me semble qu'il doit y avoir un minimum de validation, à part les zones texte libre, car si on laisse l'utilisateur (ou un robot) rentrer n'importe quoi on se retrouve avec une DB pleine de données inutiles.

[styck007]

Il faudrait un exemple un peu plus réaliste. Est-ce que tous les arguments de la requête seront paramétrés ?
A part ça, ça devrait être "safe", mais le code peut planter quand même, par exemple si certains éléments ne sont pas présent dans le JSON.
Ceci dit, il me semble qu'il doit y avoir un minimum de validation, à part les zones texte libre, car si on laisse l'utilisateur (ou un robot) rentrer n'importe quoi on se retrouve avec une DB pleine de données inutiles.

merci de votre réponse.

le robot aura un peu de mal car il faudra être loger ( avec Keycloak )
sinon oui tous les arguments de la requête sont paramétrés avec bindParam sauf 1 qui est interne puisque c'est un id utilisateur qui vient de Keycloak via la cession donc pas injectable