Titre: php/securite
Posté par: bibil le le 07-08-2004 a 09:07:38
Bonjour,
Est-ce qu'il y a une commande php "toute faite" qui permet d'eviter qu'un usr du site entre une commande mysql (par exemple) dans un formulaire. commande qui risque d'etre executee si il n'y a pas un minimum de blindage..
autrement, je pensais faire une fonction php qui test si il y a des mots clef mysql "strategique" dans le champs du formulaire.
Mais y a ptetre une fonction toute faite ? non ? ??? |
Titre: Re:php/securite
Posté par: bigornot le le 07-08-2004 a 19:10:55
utilise where pour verifier ;D
par exemple, on prends l'exemple de ta newsletter :
il te met ("delete * from lenomdetatabletable");
tu passe au test infaillible
if (ereg ("lenomdetatable", $champaremplire, $regs)) {
on fait tout ce qu'il faut
} else {
echo " >:( pas content";
}
dites moi si je me suis trompé ;-)
je crois que c'est une solution |
Titre: Re:php/securite
Posté par: sk8_4_life le le 07-08-2004 a 23:33:17
euh ben je crois qu'il y a htmlentities() ou html_entity_decode() ...
Mias je ne suis plus trop sûr...
Va voir du côté de www.php.net/manual/fr !
p.s. Bigornot, ton design bugue complètement sur Firofox... Ou en tout cas, je crois :o |
Titre: Re:php/securite
Posté par: bibil le le 08-08-2004 a 00:05:43
humm..
mais htmlentities et son copain ne vont pas detecter le code Mysql.
En fait, je pensais qu'il y avait ptetre une fonction php toute faite, mais peut-etre pas ... :-\
il me reste plus qu'a en faire une 8)
bigornot, ca al'air correct ton code. faut tester !
mais il va falloir tester pas mal de mots clefs !
merci a tous les 2 !
|
Titre: Re:php/securite
Posté par: bigornot le le 12-08-2004 a 10:28:39
oups
mon code est inversé, je crois ...
enfin bon, pour les mots clés, il suffit de tester le <? ou le ?> et peut etre delete, insert into, et le nom de ta table, et pis ça suffira ...
je pense ... |
Titre: Re:php/securite
Posté par: ayor le le 13-08-2004 a 20:15:00
y a plus simple tu verifies juste la presence ou non des caracteres "
Code:
"
ca interdira tout php ;)
2rien ;) |
Titre: Re:php/securite
Posté par: bibil le le 13-08-2004 a 20:34:01
mais pas les requetes mysql qui pourraient s'integrer dans une requette voulue !
non ?
|
Titre: Re:php/securite
Posté par: ayor le le 13-08-2004 a 20:46:07
l'utilisateur n'a pas a rentrer de requetes sur tes sites !
si besoin tu as juste des parametres a demander et à inserer dans tes requetes, et dans le pire des cas, il ne peut pas executer de requetes sans mettre les <? ... ?> |
Titre: Re:php/securite
Posté par: bigornot le le 17-08-2004 a 19:08:09
bah ...
fait avec into, delete, select, etc ...
|
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|