Re: PHP et MySQL

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: PHP et MySQL
    Bonsoir,

Le 11/10/2018 à 09:23, Frédéric a écrit :
> Le 11/10/2018, bressy.frederic a écrit :
>
>
>> PHP 5.6 OU 7?
>
> 7.
>
>> Faut traiter $value1 avec mysqli_real_escape_string en procedurale 
>
> Ok, je regarde ça. Merci !


    Il faut vraiment faire attention lorsque tu injectes des données,
provenant d'un formulaire, dans du SQL, avec une commande comme:


$req = "INSERT INTO table (champ1) VALUES ('".$value1."')";


    Imagine que l'utilisateur (sournois), mette dans "value1":


'); DROP TABLE table ;


    Et bien c'est très simple : ta table "table" est détruite ...


    C'est ce que l'on appelle du "SQL injection". C'est le b-a-ba du
piratage de site web.


https://fr.wikipedia.org/wiki/Injection_SQL

    Et ne va surtout pas mettre du javascript sur la page pour limiter les
caractères d'entrée. En effet, comme le javascript tourne dans le
navigateur, le "pirate" peut complètement le contourner ...


    Cordialement,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!