Discussion :

[Generation-Web]

Bonjour à tous !

En fait j'ai une page web dans laquelle je récupère une variable numérique ($_GET['id']).

J'ai ensuite fait un code (il fonctionne) mais j'aimerais savoir si il est efficace pour se protéger contre les injections SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
 
mysql_connect("...", "...", "...");
mysql_select_db("...");
 
 
    $id = (isset($_GET['id'])) ? abs(intval($_GET['id'])) : 0;
    $req = "SELECT * FROM affilies WHERE id='".$id."';";
    $retour = mysql_query($req) or die ($req.'<br>'.mysql_error());
 
    if (mysql_num_rows($retour) == 1)
         {
		 $donnees = mysql_fetch_array($retour);

On m'a dit que je devais utiliser mysql_real_escape_string mais comme ma variable est numérique, je me demande si j'en ai besoin.

Pouvez-vous me dire si ce code est bon pour être suffisamment sécurisé ?

Merci pour votre aide.

[ThomasR]

Bonjour,

Perso je fais exactement comme toi, mysql_real_escape_string, comme son nom l'indique, échappe les chaines de caractères.

Aussi, je pense que les guillemets encapsulant ton id sont inutiles :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

id=".$id."

[(Benoit)]

Oui, la méthode que tu utilises va bien prémunir ta variable id des injections SQL. Oublie pas de faire pareil pour toutes les variables que ton script peut recevoir par GET ou POST.
Mais n'hésites pas à tester toi-même avec des appels genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapage.php?id=5'; drop table matable; --

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapage.php?id=5'\'; drop table matable; --