Discussion :

[italiasky]

Bonjour,

Je sais que pour des raisons de sécurité il faut faire attention aux données que l'on récupere et que donc il existe des fonctions en PHP pour "encoder" les données :
addslashs
htmlspecialchars
htmlentities
trim
nl2br
et surement d'autres...

J'aimerais savoir lesquelles utilisés, lesquelles servent réellement ?

Enfin, qu'est-ce que vous faites vous a chaque fois que vous récupéré des informations d'un formulaire par exemple ?

Merci
++

[jeff_!]

salut
si c'est pour envoyer vers mysql
je dirai mysql_query_string

[vg33]

Plus exactement mysql_real_escape_string(). Cela permet d'éviter les injections sql.
Pour contrer les attaques XSS, il faut faire htmlentities() avant d'afficher une donnée transmise par le client.
Par contre, il est conseillé de stocker des données brutes dans la bdd (après passage par mysql_real_escape_string()).

[jeff_!]

je savais que quel que chose manquai

[italiasky]

ah ok je savais pas tout ca alr, je faisais toujours comme ca moi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$db = @mysql_connect($HOST, $LOGIN, $PASSWORD) or die('Connexion impossible ! '.mysql_error().')';
@mysql_select_db($BASE,$db) or die('Impossible de se connecter à la base "'.$BASE.'" !');
$query = 'Insert Into table (id, info1, info2) Values('.@mysql_insert_id().', '.$info1.', '.$info2.')';
@mysql_query($query) or die('Erreur MySQL !');
@mysql_close($db);

Donc la je mets le mysql_real_escape_string() ou exactement ?
Je ne doit donc pas faire de addslashs ?

Merci
++

[gorgonite]

Donc la je mets le mysql_real_escape_string() ou exactement ?
Je ne doit donc pas faire de addslashs ?

Surtout pas...

[italiasky]

Surtout pas...

Comment ca ? Je ne vous suis plus la...

[vg33]

Juste avant de faire ta requête d'insertion, tu passes toutes tes données par mysql_real_escape_string(). C'est nécessaire et suffisant.
Si tu fais un addslashes(), tu auras un doublon de certains échappements.

[italiasky]

Ah oki, donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
<?php
$info1 = mysql_real_escape_string($info1);
$info2 = mysql_real_escape_string($info2);
 
$db = @mysql_connect($HOST, $LOGIN, $PASSWORD) or die('Connexion impossible ! '.mysql_error().')';
 
@mysql_select_db($BASE,$db) or die('Impossible de se connecter à la base "'.$BASE.'" !'); 
 
$query = 'Insert Into table (id, info1, info2) Values('.@mysql_insert_id().', '.$info1.', '.$info2.')'; 
 
@mysql_query($query) or die('Erreur MySQL !'); 
@mysql_close($db);
?>
 
Et quand je récupere mes données, que je l'ai affiche, la fonction mysql_real_escape_string aura donc ajouté des slashs c'est ca ?
Pour afficher les données, j'utilise juste stripslashs ?
 
Merci
++
 
Ps : et quand magic_quotes est sur on automatiquement, les données d'un formulaire sont déja traitées non il me semble ? il faut encore faire mysql_real_escape_string ?

[vg33]

Attention : mysql_real_escape_string() réclame une connexion mysql ouverte. Tu dois donc l'utiliser après ta connexion à ta bdd.
Pour le problème des magic_quotes : vérifie si magic_quotes est à on (fonction get_magic_quotes_gpc()), et si c'est le cas, donne un coup de stripslashes. Sinon, tu risques d'avoir des doubles \\.
Attention : adslashes() et mysql_real_escape_string() n'échappent pas les mêmes caractères. Mysql_real_escape_string échappe tous les caractères dangereux pour la bdd, pas seulement les quotes. Lis le manuel pour plus de précisions.

[italiasky]

OKi
J'ai trouvé ca dans le manuel PHP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
// Protège la variable
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }
   // Protection si ce n'est pas un entier
   if (!is_numeric($value)) {
     $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}
 
// Connexion
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
OR die(mysql_error());
 
// Fabrication d'une requête sécurisée
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
quote_smart($_POST['username']),
quote_smart($_POST['password']));
 
mysql_query($query);
?>

Ca a l'air pas mal non ?

Seulement j'ai juste une question, rien a voir avec le mysql_real_escape_string() mais dans ce code la, le sprintf ca sert a quoi et pourquoi ils ont mis %s ?? enfin jsais pas j'ai du mal a comprendre la syntaxe avec le sprintf... pourtant j'ai regardé dans le manuel a quoi ca correspondait cette fonction mais bon...

[italiasky]

ah non jcrois que c'est bon j'ai capté d'ou ca venait...

Mais quand je sors des infos de la BDD que j'ai inséré avec mysql_real_escape_string, je dois leur appliquer quoi ? sripslashes ?

[vg33]

Non, tu ne dois rien appliquer. Les données sont renvoyées telles qu'elles étaient avant mysql_real_escape_string().

[italiasky]

ah oki oui c'est pour ca j'ai fait un essai, est dans la base de données, il y a tout comme ce que j'avais tapé, avec les guillements et tout..
Ok merci !
C'est largement mieux d'utiliser ca alr, dire qu'avant je jouais avec addslashes et stripslashes apres... lol

Merci
++