Discussion :

[Laaris]

Bonjour,

Depuis quelques jours mon site perso est la cible de tentatives d'injection SQL via un formulaire de commentaires d'articles.

J'utilise PDO pour sécuriser mes requêtes, donc aucune injection n'a abouti. Cependant cela génère des dizaines de commentaires avec des bouts de requêtes SQL, ce qui est moyen pour "l'image" du site.

Je cherche donc un moyen efficace pour détecter à l'avance les commentaires qui sont des tentatives d'injection, et ne pas les insérer en BDD.
J'imagine que c'est une problématique courante donc avant de me lancer dans un truc fait maison (regex, liste de mots interdits ...) je souhaite savoir s'il existe une méthode standard.

Merci d'avance pour votre aide.

[binarygirl]

Un WAF (web application firewall).
Aussi les captchas pour écarter les bots, même si je n'aime pas ça.
Si c'est un site de type wordpress, je fais le choix de ne pas afficher les commentaires avant qu'ils soient modérés.
Ça implique de passer en revue régulièrement les commentaires reçus.

[laurentSc]

Aussi les captchas pour écarter les bots, même si je n'aime pas ça.

Pourquoi t'aimes pas les captchas ?

Si c'est un site de type wordpress, je fais le choix de ne pas afficher les commentaires avant qu'ils soient modérés.

La modération des commentaires, ça peut aussi se faire en dehors d'un CMS, non ?