Sécurité contre les injections SQL ?

Salut à tous !

Je développe mon petit CMS, en php mysql, et pour diminuer le risque d'injections de requêtes SQL, j'ai fait des procédures mysql pour les insert et update.
Alors tout marche bien sur le serveur de chez moi, mais quand je le mets en ligne sur un mutualisé je découvre avec horreur et stupéfaction que ça, comme on dit, ch*e dans la colle.
Et pour cause, après de courtes recherches, je m'aperçois que l'hébergeur bloque volontairement les droits pour changer les routines, de peur que ça fasse des boucles infinies, ou je ne sais quelle autre excuse bidon ( :mrgreen: ) !

Bref, je dois me retaper les fonctions qui gèrent les ajouts et modifs MySQL. Mais je tiens tout de même à avoir un minimum de sécurité face aux injections de requêtes, et je voudrais votre avis.

Est-ce que je dois vérifier systématiquement toutes les données à mettre dans la base, avec php, avant de faire les requêtes ?
Est-ce que mysqli, en style orienté objet, propose ce genre de sécu, sans que je doive faire quoi que ce soit ? (laissez moi rêver ^^)
Est-ce qu'il existe une autre façon de faire ?
Est-ce que je dois changer d'hébergeur ?

Procédural ou objet, mysqli a les mêmes fonctionnalités.
La méthode recommandée est d'utiliser des requêtes préparées (également possible avec PDO).

Citation:

---

Est-ce que je dois vérifier systématiquement toutes les données à mettre dans la base, avec php, avant de faire les requêtes ?

---

Si ces données proviennent de l'utilisateur, OUI.

Citation:

---

Est-ce que mysqli, en style orienté objet, propose ce genre de sécu, sans que je doive faire quoi que ce soit ? (laissez moi rêver ^^)

---

OUI (enfin presque), il te suffit d'utiliser les requêtes préparées au lieu de faire une simple query.

Citation:

---

Est-ce qu'il existe une autre façon de faire ?

---

Oui, l'extension PDO, qui est une alternative extrêmement similaire à Mysqli mais qui au lieu d'être spécifique à mysql comme l'est mysqli, est générique quel que soit le SGBD utilisé.

Citation:

---

Est-ce que je dois changer d'hébergeur ?

---

Ce que tu évoques ici n'est en rien une raison suffisante en tout cas.

J'ai bien fait de poser la question, je découvre les requêtes préparées, tout comme PDO !
Bon, je vais RTFM pour ensuite aller me noyer dans une série de tests.

Merci pour vos réponses, elles me permettent de faire bien évoluer mon code :)


PS : Je plaisantais, je vais pas changer d'hébergeur pour ça ^^

Si tu es obligé de te retaper l'essentiel du code de tes requêtes autant apprendre à utiliser tout de suite PDO. C'est beaucoup plus agréable à écrire et PDO possède aussi des fonctionnalités très pratiques comme l'envoi d'un tableau pour binder les variables, plutôt que d'être obligé de les binder individuellement avec mysqli_

En résumé :

mysql_ -> Out (obsolète)
mysqli_ -> Ok mais principalement conçu pour mettre à jour des anciens code mysql_ ou les faire évoluer. Inconvénient : code désagréable à écrire et assez laborieux par rapport à PDO
PDO -> Ok et plus de fonctionnalités pratiques que mysqli_ et permet aussi d'avoir moins de code à réécrire si on change de SGBD

Effectivement j'ai tout passé en PDO, et je dois dire que je ne le regrette absolument pas ! C'est très souple et optimisé, tout ce que j'aime :)