Sécuriser un PHP pour éviter les vulnérabilités SQL.

Version imprimable

Bonjour,
voila j'ai un Php pour DOWNLOAD sur mon site mais il semble qu'il dispose d'une faille SQL après avoir testé avec un outil, ma demande d'aide c'est :
qui peut me corriger ce PHP des failles SQL. Merci.

voici mon code :
download.php

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
if($sql_conn==true)
{
 $down_id=str_replace("",";",$_GET["id"]);
 $down_qq = "SELECT files.*,members.name AS m_name FROM files LEFT JOIN members ON members.id=files.uploader WHERE files.id=".$down_id;
 $down_q=mysqli_query($sql_conn, $down_qq);
 $names_type=array("Application","Module","Database","Tutorial",6 => "Randome",15 => "Tutorial",16 => "Database",17 => "Module",18 => "Application",19);              
 if ($down_what=mysqli_fetch_array($down_q))
  {
   ...... etc ....
 
 }
 
}
else
{
 mysqli_close($sql_conn);
}

16/05/2021, 22h41
mathieu

pour être mieux sécurisé par rapport aux injections sql, vous pouvez utiliser des requêtes préparées :
https://www.php.net/manual/fr/pdo.pr...statements.php
17/05/2021, 00h24
Hs32-Idir

Comme je suis nul en Php je n'arrive pas à l'implémenter avec mon exemple que je viens de poser en question. merci quand-même.
19/05/2021, 13h41
Séb.

Il faut échapper chacun des arguments avec mysqli_real_escape_string(), ici $down_id

Tu trouveras des exemples dans la doc : https://www.php.net/manual/fr/mysqli...ape-string.php

Si tu bloques transmet-nous tes tentatives afin qu'on puisse corriger.

Code:

1 2 3 4 5 6 7 8 9 10 11 ................................ if($sql_conn==true) { $sql_conn->set_charset('UTF-8'); $down_id = $_GET["id"]; $down_id = mysql_real_escape_string($down_id); $down_qq = "SELECT files.*,members.name AS m_name FROM files LEFT JOIN members ON members.id=files.uploader WHERE files.id=".$down_id; $down_q=mysqli_query($sql_conn, $down_qq); ........... }
* J'ai dû faire ceci, mais dès que je clique sur le site sa ne fonctionne pas et aucune erreur n'apparaît, plutôt juste une page blanche.
* sachant que "id" est toujours numérique.

20/05/2021, 06h51
Christophe

Commences par utiliser error_reporting.

Comme ça vite fait je regarderais la requête, déjà il ne doit pas y avoir de guillemet de fermeture ni de point virgule. Affiches la valeur de $down_qq

Mets-toi aux requêtes préparées, un tutoriel très clair : https://fmaz.developpez.com/tutoriel...omprendre-pdo/
21/05/2021, 15h06
Hs32-Idir

Merci chrtophe,

j'ai commencé à comprendre un peut le concept du tutoriel https://fmaz.developpez.com/tutoriel...comprendre-pdo, et j'ai commencé à modifier localement, c'est clair comme explication mais je dois réécrire toute les pages du site pour pouvoir implémenter le PDO et le plus urgent que moi j'aurais ou moins besoin de corriger ma faille qui situé dans la remonte machine, et après je vais réécrire l'entier des pages en utilisant PDO.

Pour l'instant j'ai dû mettre :

Code:

$down_id=str_replace("'","",$down_id);