Sécuriser les formulaires de son site !
1000trad
Messages postés
2204
Statut
Membre
-
1000trad Messages postés 2204 Statut Membre -
1000trad Messages postés 2204 Statut Membre -
Bonjour,
Je souhaiterai sécurisé un maximum mon site et je ne sais pas trop si ce que je fait est utile.
En ce qui concerne les formulaire :
J'ajoute un mysql_escape_string devant les variables qui seront mise dans les requêtes Insert into.
J'ajoute un htmlentities et un stripslashes devant les variables qui seront ensuite affiché sur une page. (ce sont des variables issu d'une requete de ma BDD)
Mon but est d'empêcher les petit malin injecter du code dans mes champs de formulaires.
Mais est-ce que cette sécurité est suffisante ?
Faut t-il mettre le htmlentities avant d'insérer mes variable dans la base ou alors une fois que j'ai fait ma requête avant de les affiché.
Ex :
A l'insertion :
$MaNouvelleVariable = mysql_escape_string($VariableDeFormulaire);
Insertion dans la table de $MaNouvelleVariable;
-------------------------------
A l'affichage des données:
Ma requête sql ;
$variable = htmlentities(stripslashes($array['champ']));
echo $variable ;
Voila comment je procède actuellement mais je ne sais pas si c'est la meilleure façon. Est-ce vraiment sûr pour éviter l'injection de code malsain ?
Merci !
Je souhaiterai sécurisé un maximum mon site et je ne sais pas trop si ce que je fait est utile.
En ce qui concerne les formulaire :
J'ajoute un mysql_escape_string devant les variables qui seront mise dans les requêtes Insert into.
J'ajoute un htmlentities et un stripslashes devant les variables qui seront ensuite affiché sur une page. (ce sont des variables issu d'une requete de ma BDD)
Mon but est d'empêcher les petit malin injecter du code dans mes champs de formulaires.
Mais est-ce que cette sécurité est suffisante ?
Faut t-il mettre le htmlentities avant d'insérer mes variable dans la base ou alors une fois que j'ai fait ma requête avant de les affiché.
Ex :
A l'insertion :
$MaNouvelleVariable = mysql_escape_string($VariableDeFormulaire);
Insertion dans la table de $MaNouvelleVariable;
-------------------------------
A l'affichage des données:
Ma requête sql ;
$variable = htmlentities(stripslashes($array['champ']));
echo $variable ;
Voila comment je procède actuellement mais je ne sais pas si c'est la meilleure façon. Est-ce vraiment sûr pour éviter l'injection de code malsain ?
Merci !
A voir également:
- Sécuriser les formulaires de son site !
- Site de telechargement - Accueil - Outils
- Site x - Guide
- Site de partage de photos - Guide
- Quel site remplace coco - Accueil - Réseaux sociaux
- Meilleur site de vente entre particulier - Guide
Donc c'est préférable de les mettre a l'insertion ?
Dans ce cas, il faut tout que je change alors !
Tu peux en plus créer une session dans la page de ton formulaire et la comparer dans la page de traitement
C'est a dire ? Je ne comprend pas trop !
Sinon, le reste ça va ?