PHP+SQL Sécurité ??

Résolu/Fermé
accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011 - 21 janv. 2010 à 13:47
accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011 - 21 janv. 2010 à 23:57
Bonjour à tous , j'aurais besoin de vos talents de flics :D

J'ai realisé deux pages, la premiere pour une catégorie de video, la deuxieme pour la liste des videos à afficher:

Et je voulais savoir si cette manipulation est une réel faille de securité et si oui, quelles sont les choses à ajouter pour securiser mon code :O .

Voici tout simplement ce qui me fais peur: 

 <div id="liste_des_cours">
<a href="c_video.php?c=<?php echo ($donnees['categorie']);?>">
<img src="bouton_voir_le_cour" alt="voir_les_cours" /> </a>


la variable depend alors d'une donnée de ma base SQL ,

Ensuite la page suivante utilisera cette variable pour afficher les videos propres à une catégorie: 

 <?php  if (isset($_GET["c"])) $categorie=($_GET["c"]);
 else $categorie = "";

 if(!file_exists($categorie.'.php.')) 
{
 (etape de connexion sql...) 
 $reponse = mysql_query("SELECT* FROM video WHERE id_categorie='$categorie'");
  blablablabla....

4 réponses

Réponse 1 / 4
resalut Messages postés 784 Date d'inscription vendredi 26 juin 2009 Statut Membre Dernière intervention 21 janvier 2010 55
21 janv. 2010 à 13:49
salut,
deja tu met tes variables tel quel sans les traiter donc oui cela constitue une jolie faille de securité corrige ca avec :
$categorie=htmlentities(addslashes($_GET["c"]));
0
Réponse 2 / 4
accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011
21 janv. 2010 à 14:14
Je te remercie Resalut ^^ ,apres une petit recherche de ton code sur google, je me suis dépeché de le mettre sur ma page :D .

Sinon juste avec cette ligne, mon code est réelement fiable ou dois-je en rajouter ?
(enfin pour bloquer au moins la plupart des petits débutants qui cherchent une victime .. :/ ).
0
Réponse 3 / 4
avion-f16 Messages postés 19252 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 10 février 2025 4 505
21 janv. 2010 à 17:30
Il y a une faille mais qui ne devrait pas poser de problème de sécurité : on peut faire une injection SQL si les magic_quotes ne sotn pas activé ; il vaut mieux les désactiver et sécuriser ton script.
Penses à utiliser mysql_real_escape_string
0
Réponse 4 / 4
accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011
21 janv. 2010 à 23:57
Oui j'ai pris quelque cours de hack .... (on combat le mal par le mal ..) .

Apparement les magic_quotes sont activé car toute mes tentatives ont échouées ouf .

Enfin tu as raison je vais les désactiver et sécuriser mon code de ce coté ,car si je change d'hebergeur un jour ..... aie aie aie lol


Bon, il me reste à marquer ce sujet comme résolu.

En tout cas je vous remercie pour vos reponses, ça m'a permis de savoir ou chercher :D .
0

Discussions similaires

Sécurité de l'URL
ghaouar -
fiddy -

2 réponses
La nouvelle messagerie du Boncoin....
Utilisateur anonyme -
Madabatro -

69 réponses
comment lire un message masqué????
linx33 -
linx33 -

6 réponses
Comment cacher ou masquer une URL
Jean-Pierre G -
Ahahaaa -

33 réponses
[PL/SQL] le rôle exact du (+) dans une clause
mathanz -
mathanz -

2 réponses