Protéger son code contre les injections SQL passage en GET des données

Version imprimable

Bonjour,

Quelle est la meilleure façon de protéger mon code pour qu'on ne puisse pas ajouter un ' dans l'url avec passage des variables en get ?
Je travaille en php5, pas de possibilité d'évoluer pour l'instant.

Voici mon code mais ça ne fonctionne pas pour l'apostrophe :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 $ref = mysql_real_escape_string($_GET['ref']); if(!$_GET['ref'] && !$_POST['ref']){ $ref="1"; } else { if (empty($_GET['ref'])){$ref=$_POST['ref'];}else{$ref=$_GET['ref'];} } $sql = "select * from pp where prod='$ref' "; $resultat = mysql_query($sql,$conn) or die('Erreur SQL !'.$sql_ref.'<br>'.mysql_error()); if (!$resultat){ $ref="1"; $sql = "select * from categories where prod='$ref' "; $resultat = mysql_query($sql,$conn) or die('Erreur SQL !'.$sql.'<br>'.mysql_error()); }
Merci !

06/09/2022, 11h55
mathieu
la 1re chose à changer est de ne pas construire la requete avec la valeur récupérée mais d'utiliser une requête préparée :
https://www.php.net/manual/fr/pdo.pr...statements.php

il y a peut-être une 2e chose à modifier, c'est la façon dont vous récupérez la valeur. pour bien organiser son code il vaut mieux commencer par séparer les affichages et les actions suite à l'envoi d'un formulaire.
donc dans le même fichier vous allez lire soit dans $_GET soit dans $_POST mais pas dans les 2 en même temps.

de plus depuis php version 7, il y a une "opérateur de fusion null" qui permet de simplifier le test. par exemple si vous avez ce code :
Code:

1 2 3 4 5 $ref = "22"; // valeur par défaut if (!empty($_GET["ref"])) { $ref = $_GET["ref"]; }
vous pouvez le simplifier comme cela :

Code:

$ref = $_GET["ref"] ?? "22";

https://www.php.net/manual/fr/langua...rison.coalesce
06/09/2022, 12h05
Sikissi
Merci beaucoup pour votre réponse

Je fais donc deux fichiers différents pour récupérer mais comment je peux me débarrasser de l'apostrophe que je n'arrive pas à empêcher de rajouter dans l'url ?
Dans mon code, même si je rajoute mysql_real_escape_string pour empêcher l'ajout d'un apostrophe et l'affichage de l'erreur mysql sur mon site, ça ne fonctionne pas.
Code:

1 2 3 4 5 6 if (empty($_GET['ref'])) { $ref=$_GET['ref']; $ref = mysql_real_escape_string($ref); }
Merci
06/09/2022, 12h09
mathieu

vous me remerciez pour mon message alors que vous ne l'avez pas lu, on va avoir du mal à avancer comme ça.
06/09/2022, 12h11
Sikissi

Je ne peux pas utiliser PHP 7 et je récupère ma variable en GET, je n'ai pas de valeur fixe pour $ref.
Je débute et je ne comprends pas forcément tout désolé. je souhaite protéger ma variable $ref