Discussion :

[Slashs]

Bonjour,
on nous parle souvent de protection contre les injection SQL et on nous dit de protéger notre code avec des fonctions de php comme mysql_real_escape_string() et intval()

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
$requete_sql = " UPDATE table
                 SET nom = '".mysql_real_escape_string($nom)."'
                 WHERE id = '".intval($id)."'
               ";
 
$resultat_sql = mysql_query($requete_sql) or die(mysql_error());
?>

Mais que se passerais-t-il si on injecte du code qui ne contient pas de caractères spéciaux ?
Exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT BENCHMARK(1000000000000,(MD5(1))

Ce code a tuer le serveur sql...comment s'en protéger ?
Merci d'avance pour les conseils

[sabotage]

Comment voudrait tu que cette requete soit executée via ton appli PHP ?

[s.n.a.f.u]

Tu aurais une instruction SQL dangereuse inscrite dans la base. C'est tout.
Tant qu'elle n'est pas exécutée, c'est peanuts.

[comode]

J'osais pas répondre de peur d'avoir pas compris la question, mais pour moi, ta requète en l'état est 100% fiable !

Tant que tu fera pas un query du contenu de ton champs, y'a rien a craindre !

[Slashs]

Merci a tous ceux qui ont répondu.