Sécuriser les formulaires de son site !
1000trad
Messages postés
2026
Date d'inscription
Statut
Membre
Dernière intervention
-
1000trad Messages postés 2026 Date d'inscription Statut Membre Dernière intervention -
1000trad Messages postés 2026 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je souhaiterai sécurisé un maximum mon site et je ne sais pas trop si ce que je fait est utile.
En ce qui concerne les formulaire :
J'ajoute un mysql_escape_string devant les variables qui seront mise dans les requêtes Insert into.
J'ajoute un htmlentities et un stripslashes devant les variables qui seront ensuite affiché sur une page. (ce sont des variables issu d'une requete de ma BDD)
Mon but est d'empêcher les petit malin injecter du code dans mes champs de formulaires.
Mais est-ce que cette sécurité est suffisante ?
Faut t-il mettre le htmlentities avant d'insérer mes variable dans la base ou alors une fois que j'ai fait ma requête avant de les affiché.
Ex :
A l'insertion :
$MaNouvelleVariable = mysql_escape_string($VariableDeFormulaire);
Insertion dans la table de $MaNouvelleVariable;
-------------------------------
A l'affichage des données:
Ma requête sql ;
$variable = htmlentities(stripslashes($array['champ']));
echo $variable ;
Voila comment je procède actuellement mais je ne sais pas si c'est la meilleure façon. Est-ce vraiment sûr pour éviter l'injection de code malsain ?
Merci !
Je souhaiterai sécurisé un maximum mon site et je ne sais pas trop si ce que je fait est utile.
En ce qui concerne les formulaire :
J'ajoute un mysql_escape_string devant les variables qui seront mise dans les requêtes Insert into.
J'ajoute un htmlentities et un stripslashes devant les variables qui seront ensuite affiché sur une page. (ce sont des variables issu d'une requete de ma BDD)
Mon but est d'empêcher les petit malin injecter du code dans mes champs de formulaires.
Mais est-ce que cette sécurité est suffisante ?
Faut t-il mettre le htmlentities avant d'insérer mes variable dans la base ou alors une fois que j'ai fait ma requête avant de les affiché.
Ex :
A l'insertion :
$MaNouvelleVariable = mysql_escape_string($VariableDeFormulaire);
Insertion dans la table de $MaNouvelleVariable;
-------------------------------
A l'affichage des données:
Ma requête sql ;
$variable = htmlentities(stripslashes($array['champ']));
echo $variable ;
Voila comment je procède actuellement mais je ne sais pas si c'est la meilleure façon. Est-ce vraiment sûr pour éviter l'injection de code malsain ?
Merci !
A voir également:
- Sécuriser les formulaires de son site !
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site de partage de photos - Guide
- Site x - Guide
Donc c'est préférable de les mettre a l'insertion ?
Dans ce cas, il faut tout que je change alors !
Tu peux en plus créer une session dans la page de ton formulaire et la comparer dans la page de traitement
C'est a dire ? Je ne comprend pas trop !
Sinon, le reste ça va ?