Risque d'injection mysql?
Le
Clark
Bonjour,
J'ai lu bcp de doc sur l'injection sql.
Ma problématique est relative à mysql.
Je lis svt qu'il faut vérifier l'intégrité des variables etc Je suis
d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string et si on vérifie que les
entiers sont bien des numériques
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
J'ai lu bcp de doc sur l'injection sql.
Ma problématique est relative à mysql.
Je lis svt qu'il faut vérifier l'intégrité des variables etc Je suis
d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string et si on vérifie que les
entiers sont bien des numériques
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
Poser une question
Bonjour
Cela dépend de la configuration de votre server ( les magic_quotes ).
Vous aurez ici (
http://www.nexen.net/docs/php/annot...string.php
) un exemple de fonction pour la protection.
Voir le lien si dessus
--
Mon nouveau bébé : http://exinsidephp.free.fr
a ce propos, est-ce que quelqu'un connait safesql
(http://www.phpinsider.com/php/code/SafeSQL/) ?
Est-ce fiable (je veux dire: est-ce qu'il a des failles qui pourraient
donner un faux sentiment de securite?) ?
Tout seul cela ne sert à rien, car on peut très bien faire une injection
SQL sans utiliser d'apostrophe.
Ca fait partie des plus grand mythes propagés par ceux qui n'ont pas
compris le coeur du problème.
Tout dépend comment on fait la vérification.
Un exemple:
http://www.frsirt.com/bulletins/740
L'exemple qui précède montre que addslashes n'aurait rien résolu.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
Dépêches sur le nommage