PHP Sécurité des $_GET
Résolu
spylller
Messages postés
395
Date d'inscription
Statut
Membre
Dernière intervention
-
SKYMWebDev Messages postés 162 Date d'inscription Statut Membre Dernière intervention -
SKYMWebDev Messages postés 162 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Pour protéger mes $_GET et $_POST je fais ca, c'est suffisant ?
$elimination = array("<",">","/","\\","(",")","{","}");
$pseudo = str_replace($elimination, "", $_POST['pseudo']);
Merci
Pour protéger mes $_GET et $_POST je fais ca, c'est suffisant ?
$elimination = array("<",">","/","\\","(",")","{","}");
$pseudo = str_replace($elimination, "", $_POST['pseudo']);
Merci
A voir également:
- PHP Sécurité des $_GET
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Clé de sécurité windows 10 gratuit - Guide
2 réponses
Pour protéger une variable "_GET" contre l'inclusion de code html ou autre dans une balise "input" il suffit de rajouter la fonction "htmlspecialchars()" lors de la récupération de la variable ! Exemple :
Cette fonction fonctionne également avec "_POST" ou autre type de variable...
En espérant vous avoir aidé...
SKYMWebDev
$nom_variable = htmlspecialchars($_GET['var']);
Cette fonction fonctionne également avec "_POST" ou autre type de variable...
En espérant vous avoir aidé...
SKYMWebDev
Non !
Ce type de fonction est utile non pas à lors de la récupération des données... mais UNIQUEMENT lors de l'utilisation (pour l'affichage par exemple).
Il est préférable de stocker les données de façon "brut".
Les soucis d'injection sql sont contrés par l'utilisation des requêtes préparées et les fonctions telles que PDO::quote
Ce type de fonction est utile non pas à lors de la récupération des données... mais UNIQUEMENT lors de l'utilisation (pour l'affichage par exemple).
Il est préférable de stocker les données de façon "brut".
Les soucis d'injection sql sont contrés par l'utilisation des requêtes préparées et les fonctions telles que PDO::quote
Moi je l'utilise comme ça et ça fonctionne très bien (ex: si j'insère "<b>cc</b>" et que je recupere avec ma fonction dans la base de données ca me met ""b"cc"/b"" et ducoup lors de l'affichage au lieu de traiter le truc ca l'affiche en brut...)
Je ne dis pas que ça ne fonctionne pas.....
C'est juste pas la meilleur façon de faire.
(c'est un peu comme vouloir planter un clou avec un râteau.....)
C'est juste pas la meilleur façon de faire.
(c'est un peu comme vouloir planter un clou avec un râteau.....)
--
Pour éviter l'injection SQL, tu peux aussi ajouter dans les caractères à supprimer les points-virgules et les tirets
Si tu utilises PDO, tu peux déjà protéger via les requêtes préparées.(perso.. c'est mon choix )
Si tu es en mysqli, tu peux aussi utiliser mysqli_real_escape_string
Puis $req = $bdd->prepare('SELECT * ...
$req->execute()