PHP+SQL Sécurité ??
Résolu
accroalavie
Messages postés
7
Date d'inscription
Statut
Membre
Dernière intervention
-
accroalavie Messages postés 7 Date d'inscription Statut Membre Dernière intervention -
accroalavie Messages postés 7 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous , j'aurais besoin de vos talents de flics :D
J'ai realisé deux pages, la premiere pour une catégorie de video, la deuxieme pour la liste des videos à afficher:
Et je voulais savoir si cette manipulation est une réel faille de securité et si oui, quelles sont les choses à ajouter pour securiser mon code :O .
Voici tout simplement ce qui me fais peur:
la variable depend alors d'une donnée de ma base SQL ,
Ensuite la page suivante utilisera cette variable pour afficher les videos propres à une catégorie:
J'ai realisé deux pages, la premiere pour une catégorie de video, la deuxieme pour la liste des videos à afficher:
Et je voulais savoir si cette manipulation est une réel faille de securité et si oui, quelles sont les choses à ajouter pour securiser mon code :O .
Voici tout simplement ce qui me fais peur:
<div id="liste_des_cours">
<a href="c_video.php?c=<?php echo ($donnees['categorie']);?>">
<img src="bouton_voir_le_cour" alt="voir_les_cours" /> </a>
la variable depend alors d'une donnée de ma base SQL ,
Ensuite la page suivante utilisera cette variable pour afficher les videos propres à une catégorie:
<?php if (isset($_GET["c"])) $categorie=($_GET["c"]);
else $categorie = "";
if(!file_exists($categorie.'.php.'))
{
(etape de connexion sql...)
$reponse = mysql_query("SELECT* FROM video WHERE id_categorie='$categorie'");
blablablabla....
A voir également:
- PHP+SQL Sécurité ??
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Clé de sécurité windows 10 gratuit - Guide
4 réponses
salut,
deja tu met tes variables tel quel sans les traiter donc oui cela constitue une jolie faille de securité corrige ca avec :
$categorie=htmlentities(addslashes($_GET["c"]));
deja tu met tes variables tel quel sans les traiter donc oui cela constitue une jolie faille de securité corrige ca avec :
$categorie=htmlentities(addslashes($_GET["c"]));
Je te remercie Resalut ^^ ,apres une petit recherche de ton code sur google, je me suis dépeché de le mettre sur ma page :D .
Sinon juste avec cette ligne, mon code est réelement fiable ou dois-je en rajouter ?
(enfin pour bloquer au moins la plupart des petits débutants qui cherchent une victime .. :/ ).
Sinon juste avec cette ligne, mon code est réelement fiable ou dois-je en rajouter ?
(enfin pour bloquer au moins la plupart des petits débutants qui cherchent une victime .. :/ ).
Il y a une faille mais qui ne devrait pas poser de problème de sécurité : on peut faire une injection SQL si les magic_quotes ne sotn pas activé ; il vaut mieux les désactiver et sécuriser ton script.
Penses à utiliser mysql_real_escape_string
Penses à utiliser mysql_real_escape_string
Oui j'ai pris quelque cours de hack .... (on combat le mal par le mal ..) .
Apparement les magic_quotes sont activé car toute mes tentatives ont échouées ouf .
Enfin tu as raison je vais les désactiver et sécuriser mon code de ce coté ,car si je change d'hebergeur un jour ..... aie aie aie lol
Bon, il me reste à marquer ce sujet comme résolu.
En tout cas je vous remercie pour vos reponses, ça m'a permis de savoir ou chercher :D .
Apparement les magic_quotes sont activé car toute mes tentatives ont échouées ouf .
Enfin tu as raison je vais les désactiver et sécuriser mon code de ce coté ,car si je change d'hebergeur un jour ..... aie aie aie lol
Bon, il me reste à marquer ce sujet comme résolu.
En tout cas je vous remercie pour vos reponses, ça m'a permis de savoir ou chercher :D .
