Sécurité contre les injections SQL

Version imprimable

Bonjour à tous ! :)

En fait j'ai une page web dans laquelle je récupère une variable numérique ($_GET['id']).

J'ai ensuite fait un code (il fonctionne) mais j'aimerais savoir si il est efficace pour se protéger contre les injections SQL :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 mysql_connect("...", "...", "..."); mysql_select_db("..."); $id = (isset($_GET['id'])) ? abs(intval($_GET['id'])) : 0; $req = "SELECT * FROM affilies WHERE id='".$id."';"; $retour = mysql_query($req) or die ($req.'<br>'.mysql_error()); if (mysql_num_rows($retour) == 1) { $donnees = mysql_fetch_array($retour);
On m'a dit que je devais utiliser mysql_real_escape_string mais comme ma variable est numérique, je me demande si j'en ai besoin.

Pouvez-vous me dire si ce code est bon pour être suffisamment sécurisé ?

Merci pour votre aide. :)

22/11/2008, 14h53
ThomasR

Bonjour,

Perso je fais exactement comme toi, mysql_real_escape_string, comme son nom l'indique, échappe les chaines de caractères.

Aussi, je pense que les guillemets encapsulant ton id sont inutiles :

Code:

id=".$id."
27/11/2008, 15h17
(Benoit)

Oui, la méthode que tu utilises va bien prémunir ta variable id des injections SQL. Oublie pas de faire pareil pour toutes les variables que ton script peut recevoir par GET ou POST.
Mais n'hésites pas à tester toi-même avec des appels genre :

Code:

mapage.php?id=5'; drop table matable; --

Code:

mapage.php?id=5'\'; drop table matable; --