Le jeudi 11 octobre 2018, Olivier a écrit :
> Il faut vraiment faire attention lorsque tu injectes des données,
> provenant d'un formulaire, dans du SQL, avec une commande comme:
>
> $req = "INSERT INTO table (champ1) VALUES ('".$value1."')";
>
> Imagine que l'utilisateur (sournois), mette dans "value1":
>
> '); DROP TABLE table ;
>
> Et bien c'est très simple : ta table "table" est détruite ...
Ok, vu. Merci pour l'exemple !
> Et ne va surtout pas mettre du javascript sur la page pour
> limiter les caractères d'entrée. En effet, comme le javascript tourne
> dans le navigateur, le "pirate" peut complètement le contourner ...
Yep.
--
Frédéric
