PHP Sécurité des $_GET

Résolu
spylller Messages postés 441 Statut Membre -  
SKYMWebDev Messages postés 193 Statut Membre -
Bonjour,
Pour protéger mes $_GET et $_POST je fais ca, c'est suffisant ?
$elimination = array("<",">","/","\\","(",")","{","}");
$pseudo = str_replace($elimination, "", $_POST['pseudo']);

Merci

--
Have a nice day

2 réponses

  1. jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention   4 830
     
    Bonjour
    Pour les protéger de ?
    0
    1. spylller Messages postés 441 Statut Membre 28
       
      Pour pas que quelqu'un puisse insérer du code dans le site

      --
      0
    2. jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention   4 830
       
      Tu utilises quoi pour te connecter à ta BDD ?
      Pour éviter l'injection SQL, tu peux aussi ajouter dans les caractères à supprimer les points-virgules et les tirets

      Si tu utilises PDO, tu peux déjà protéger via les requêtes préparées.(perso.. c'est mon choix )
      Si tu es en mysqli, tu peux aussi utiliser mysqli_real_escape_string
      0
      1. spylller Messages postés 441 Statut Membre 28 > jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention  
         
        $bdd = new PDO('mysql:ho
        Puis $req = $bdd->prepare('SELECT * ...
        $req->execute()
        0
  2. SKYMWebDev Messages postés 193 Statut Membre 176
     
    Pour protéger une variable "_GET" contre l'inclusion de code html ou autre dans une balise "input" il suffit de rajouter la fonction "htmlspecialchars()" lors de la récupération de la variable ! Exemple :
    $nom_variable = htmlspecialchars($_GET['var']);

    Cette fonction fonctionne également avec "_POST" ou autre type de variable...
    En espérant vous avoir aidé...

    SKYMWebDev
    0
    1. jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention   4 830
       
      Non !
      Ce type de fonction est utile non pas à lors de la récupération des données... mais UNIQUEMENT lors de l'utilisation (pour l'affichage par exemple).
      Il est préférable de stocker les données de façon "brut".
      Les soucis d'injection sql sont contrés par l'utilisation des requêtes préparées et les fonctions telles que PDO::quote
      0
      1. SKYMWebDev Messages postés 193 Statut Membre 176 > jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention  
         
        Moi je l'utilise comme ça et ça fonctionne très bien (ex: si j'insère "<b>cc</b>" et que je recupere avec ma fonction dans la base de données ca me met ""b"cc"/b"" et ducoup lors de l'affichage au lieu de traiter le truc ca l'affiche en brut...)
        0
      2. jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention   4 830 > SKYMWebDev Messages postés 193 Statut Membre
         
        Je ne dis pas que ça ne fonctionne pas.....
        C'est juste pas la meilleur façon de faire.
        (c'est un peu comme vouloir planter un clou avec un râteau.....)
        0
      3. SKYMWebDev Messages postés 193 Statut Membre 176 > jordane45 Messages postés 30426 Date d'inscription   Statut Modérateur Dernière intervention  
         
        Oui je vous comprend (et je vous crois ;) ) je ne suis pas un spécialiste, mais c comme ca que jai appris comme ca sur openclassrom... Je tacherait d'apprendre l'autre fonction, Merci ! ;)
        0