Variable de l'url modifiable - sécuriser
osvaldege
Messages postés
1
Statut
Membre
-
Dalida Messages postés 7114 Date d'inscription Statut Contributeur Dernière intervention -
Dalida Messages postés 7114 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Je cherche à sécuriser mon site.
Je me sert de la valeur d'une variable de l'url pour appeler une table de ma base de donnée. Le problème c'est qu'on peut modifier la valeur de cette variable dans l'url et j'ai peur que ça pose des problèmes de sécurité de type faille sql ou autre.
Je cherche à ce que seulement certaines valeurs que je définisse moi même marche.
le bout de code concerné -> $select = 'select titre,image,lien,resumecourt FROM '.$_GET['cat'].' ORDER BY id ASC limit '.$limite.','.$nombre;
C'est la valeur de la variable "cat" dont je veux parler.
Merci d'avance. :D
Je cherche à sécuriser mon site.
Je me sert de la valeur d'une variable de l'url pour appeler une table de ma base de donnée. Le problème c'est qu'on peut modifier la valeur de cette variable dans l'url et j'ai peur que ça pose des problèmes de sécurité de type faille sql ou autre.
Je cherche à ce que seulement certaines valeurs que je définisse moi même marche.
le bout de code concerné -> $select = 'select titre,image,lien,resumecourt FROM '.$_GET['cat'].' ORDER BY id ASC limit '.$limite.','.$nombre;
C'est la valeur de la variable "cat" dont je veux parler.
Merci d'avance. :D
1 réponse
-
salut,
tu peux te faire une liste blanche.
c'est à dire que seules les valeurs contenues dans ta liste (en PHP tu peux utiliser un tableau) seront autorisées.$cats = array('cat1', 'cat', 'cat2', 'cat3', 'cat4', 'cat5'); $cat = filter_input(INPUT_POST, 'cat'); if(!in_array($cats, $cat)) throw new Exception('Opération interdite', 403);