Version imprimable
Salut,
Comment peut-on éviter les attaques SQL, des utilisateurs qui mettent des requêtes SQL dans un champs d'identification ou dans un champs de recherche d'articles, par exemple:
Si le compte a le droit de supprimer la db, ca marche ^^'Code:SELECT * FROM articles WHERE false; DROP DATABASE
Merci,
Vincent.
Les réponses varient selon la base de donnée utilisée et l'extension utilisée pour se connecter.
La tendance actuelle donnée par PHP est quand meme d'utiliser PDO et des requetes préparées.
Bonjour
Il est utile aussi de faire un contrôle du contenu des variables, et interdire certains mots (Perso c'est ce que je fais).
Il faut échapper les variables ex sur postgres-->pg_escape_string().
voilà un exemple de protection avec MySQL :
http://php.developpez.com/faq/?page=mysql#mysql-escape