Discussion :

[morgan47]

Bonjour,
J'utilise Wamp en local pour déveloper mon site.

Voici mon code :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
function protect_insert($variable)
{
	if (get_magic_quotes_gpc())// SI les magic quote sont activé
	{
		$variable = stripslashes($variable);		
	}
	$variable = mysql_real_escape_string($variable);
	return $variable;
}
function ajout_marques ($marque)
{
	$marque = protect_insert($marque);
	echo $marque;
	$sql = "INSERT INTO liste_marques (marque) VALUES ('$marque')";
    $req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error());
}

Je n'ai pas mis la connectino à la db qui s'efectué avant tout cela.

J'aurai 1 questions.
Lorsqu'il y a des ' ou " dans la chaine, dans le echo, ils sont remplacé par des \' et \", normal me dirrez vous.
Mais lorsque je consulte les enregistrements avec phpmyadmin, et bien les ' ou " apparaissent normalement dans aucun \ devant.

Et lorsque je fait un select des enregistrement et que je les affiches, ils sortent également en claire sans aucun \

Est ce que c'est normal?

Merci pour votre réponse

[Tesing]

Salut,

oui, c'est normal.
Les anti slash d'échappement devant les guillemets simples ou doubles sont interprétés par le serveur MySQL.
Lors de l'insertion, il ne font plus partie de la chaine de caractères.
Ils ont fait leur job : empêcher la terminaison d'une chaine de caractères dans la requête SQL avec un guillemet simple ou double suivi de l'injection de SQL.
Ils ne sont donc pas stockés dans la table.

Pas d'inquiétude a avoir.

[morgan47]

Merci pour ta réponse.

Mais imaginons que je sélectionnement un ligne de l'enregistrement et que je m'en sert pour inséré dans un autre table.
est ce que je dois reprotéger la chaine sélectionné ou non?

[Tesing]

Vu ta requête il est n'est pas possible de faire d'injection SQL sur l'INSERT de toute façon.

[Tesing]

Si des commandes SQL sont stockées dans le SGBD sous forme de chaines de caractères je ne vois pas pourquoi le SGBD les exécuterait.

C'est au moment de la construction de la requete qu'il y a un risque.

Si tu veux essayer de t'amuser avec des injections SQL :
http://www.dareyourmind.net/, essaye les challenge d'injection SQL

[Tesing]

Par ailleurs, c'est sans doute des attaques XSS et CSRF que tu devrais te protéger.

[morgan47]

pour les attaques XSS, j'ai lu qu'il fallait appliqué htmlentities lors de l'affichage des données.
Personnellement, depuis longtemp je le fait à l'insertion.(je sais c'est p as bien ^^)

Mais pour CSRF, jamais entendu parlé, je vais me renseigner.


Merci pour tes réponses