Sécuriser les formulaires de son site ! Fermé

Question

Bonjour,

Je souhaiterai sécurisé un maximum mon site et je ne sais pas trop si ce que je fait est utile.

En ce qui concerne les formulaire :

J'ajoute un mysql_escape_string devant les variables qui seront mise dans les requêtes Insert into.
J'ajoute un htmlentities et un stripslashes devant les variables qui seront ensuite affiché  sur une page. (ce sont des variables issu d'une requete de ma BDD)

Mon but est d'empêcher les petit malin injecter du code dans mes champs de formulaires.

Mais est-ce que cette sécurité est suffisante ?

Faut t-il mettre le htmlentities avant d'insérer mes variable dans la base ou alors une fois que j'ai fait ma requête avant de les affiché.


Ex :
A l'insertion :
$MaNouvelleVariable = mysql_escape_string($VariableDeFormulaire);
Insertion dans la table de $MaNouvelleVariable;
-------------------------------
A l'affichage des données:

Ma requête sql ;
$variable = htmlentities(stripslashes($array['champ']));
echo $variable ;

Voila comment je procède actuellement mais je ne  sais pas si c'est la meilleure façon. Est-ce vraiment sûr pour éviter l'injection de code malsain ?


Merci !

resalut · Answer

tu peux en plus créer une session dans la page de ton formulaire et la comparer dans la page de traitement et tu devrait mettre htmlentities à l'insertion ainsi que addslashes :)

Sécuriser les formulaires de son site !

1 réponse

Discussions similaires