[SQL] strpos contre injection sql

Version imprimable

20/07/2006, 09h24
sam01

[SQL] strpos contre injection sql

Bonjour,
j'aimerais sécurisé chaque champs d mon formualire en testant pour chaque champs la présence des caractères suivants : /%*#"' (j'en ai peut-être oublié...
n'hésitez pas à me le dire...)

je pense (mais je ne suis pas sûr) qu'il faut utiliser la fonction strpos.
Si vous pouviez me conseiller.
D'abord est-ce la bonne méthode?
et peut-on tester cela en une seule commande ou bien faut-il faire un strpos pour chaque caractère (un pour /, un pour % etc...)
Cette fonction est-elle efficace opur un champs numérique?

merci d'avance pour votre aide.
20/07/2006, 09h26
Amara

Si tu veux préparer tes données en vue d'une insertion en base SQL il y a des fonctions pour ça (addslashes & co, cf la doc.).
20/07/2006, 09h26
Invité

utilise des expressions regulieres, avec les addslashes avant dinserer etc
20/07/2006, 09h27
Eusebius

Tu as des fonctions toutes faites pour ça, comme mysql_real_escape_string
20/07/2006, 13h34
sam01

Mais les injections mysql ne se font uniquement lorsque dans la requête, on fait allusion à un password?

cela veut dire ma requête suivante par exemple ne peut pas avoir d'injection :

$sql = "insert into lldiffusion_clients(mail,pseudo,nom,prenom,mdp,ad_ligne1,ad_ligne2,ad_ville,civilite,telephone,ad_cp,ad_ip,nomf,prenomf,ad_ligne1f,ad_ligne2f,ad_cpf,ad_villef) values('$mail','$pseudo','$nom','$prenom','$mdp','$ad_ligne1','$ad_ligne2','$ad_ville','$civilite','$telephone','$ad_cp','$ip_en_cours','$nomf','$prenomf','$ad_ligne1f','$ad_ligne2f','$ad_cpf','$ad_villef')";
$req = mysql_query($sql);// or die('Erreur SQL : <br />'.$sql);

ou encore celle-ci :

$sql = 'SELECT id,marque,designation,categorie,resume_court,prix_ttc,disponibilite FROM lldiffusion_produit WHERE resume_long LIKE "'.$pa.'" OR designation LIKE "'.$pa.'"';
20/07/2006, 13h36
Amara

Rien compris là par contre :koi:
20/07/2006, 14h09
Invité

Citation:

Envoyé par sam01

Mais les injections mysql ne se font uniquement lorsque dans la requête, on fait allusion à un password?

NON!!!, les injections se font du moment ou tu inseres/update/select/delete etc dans ta base des données .
1.Par exemple tu demandes a un utilisateur de laisser un avis sur un article que tu inseres ensuite dans ta base.
2. un utilisateur qui change ces infos
(a cherchant sur le net, tu trouveras dautres exemples)

Il faut meme prendre lhabitude de faire des addslshes pour tt insertion (meme celle qui te semblent inutiles) , c'est une bonne habitude à prendre
20/07/2006, 14h11
Eusebius

Citation:

Envoyé par rbaatouc

inseres/update/select/delete

T'as fait ton edit juste à temps... Je t'aurai la prochaine fois ! :mrgreen:
20/07/2006, 14h24
Invité

Citation:

Envoyé par Eusebius

T'as fait ton edit juste à temps... Je t'aurai la prochaine fois ! :mrgreen:

pas assez rapide petit scarabet :mouarf: :mouarf: (je crois que c dans kungfu)