Discussion :

[AyManoVic]

bonjour tout le monde , sur mon script , l'adresse d'un certain forum est la suivante /index.php?mode=f&f=235
par exemple .
Le probleme se produit quand je mets un quote apres 235
(index.php?mode=f&f=235')
ça m'imprime une erreur :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''235''' at line 1

Y'a t-il une precaution à prendre dans les requetes SQL ou genre ?

[Seb33300]

Problème d'injection SQL. C'est une faille de sécurité relativement critique.

Dans une requête SQL, il faut toujours protéger les valeurs issue de variables par les fonctions échappement.

Si tu utilises les fonctions MySQL par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM table WHERE champ='".mysql_real_escape_string($var)."'");

Une autre alternative, par exemple si tu es sûr que ta variable doit contenir un nombre entier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM table WHERE champ='".intval($var)."'");

Tu as aussi floatval(), etc...

Qu'est ce que une injection SQL : http://securite.developpez.com/faq/?..._sql_injection

[AyManoVic]

Oui j'utilise les fonction Mysql
je vais essayer mon ami et je vais vous rendre compte

[AyManoVic]

Si je veux considerer le 235' (avec le quote ) comme une valeur
comme ça ça imprimera que le forum est introuvable et non pas l'erreur

comment dois je faire ?