Urgent sécurité du code php
Tbdr1
Messages postés
3
Date d'inscription
Statut
Membre
Dernière intervention
-
Tbdr1 Messages postés 3 Date d'inscription Statut Membre Dernière intervention -
Tbdr1 Messages postés 3 Date d'inscription Statut Membre Dernière intervention -
j'ai besoin pour vous m'aidez de me donner les failles présents de ce code et comment je peux sécuriser bien ??
mysql_connect("localhost","root","");
mysql_select_db("fac");
$etu_mat = $_GET['mat'];
$req="select nom,prenom from etudiant where matricule = '$etu_mat' " ;
$res=mysql_query($req);
if (mysql_num_rows($res)>0) {
$e=mysql_fetch_object($res);
echo "nom et prenom : ".$e->nom." ".$e->prenom." ; }
else echo $_GET['mat']." est introuvable ";
| Message édité par la modération |
| Merci d'utiliser la coloration syntaxique lorsque du code source est
présent dans votre message afin de rendre celui-ci plus lisible. |
| Plus d'informations sur cet article : Utilisation des balises <code></code> |
A voir également:
- Urgent sécurité du code php
- Code ascii - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Code puk bloqué - Guide
- Code activation windows 10 - Guide
2 réponses
 |
| Bonjour, |
| Nous sommes sur CCM (CommentCaMarche), un forum d'entraide.
Qui dit entraide dit également politesse et convivialité. Quelques élémentaires qui semblent être portés disparus dans votre message, n'oubliez donc pas qu'il est d'usage d'utiliser quelques petits mots magiques, sans lesquels nous n'obtenons rien... |
|
» Bonjour » S'il vous plaît » Merci (d'avance) |
|
Si votre message vient à être fermé ou supprimé, c'est parce que cette petite règle de savoir vivre vous a échappé ! Les intervenants du forum étant des personnes humaines comme vous, qui sont bénévoles, et non des machines, les réponses ne sont donc pas automatiques. D'avance, merci de votre compréhension ;o) L'équipe de CommentCaMarche.net et ses intervenants |
| Accéder à la charte de respect de CommentCaMarche.net |
Petit rappel, l'extension mysql est obsolète
Injection SQL
XSS
$etu_mat = $_GET['mat']; $req="select nom,prenom from etudiant where matricule = '$etu_mat' " ;
Injection SQL
else echo $_GET['mat']." est introuvable ";
XSS
bonsoir, le point de départ sera d'utiliser une méthode moderne et non obsolète.
tu utiliseras ensuite la méthode prepare du PDO, qui offre un premier niveau de protection.
ensuite, ne pas faire confiance en ce que tu reçois via le $_GET. il est donc utile de vérifier que ce que tu reçois est légitime, ne contient que les caractères attendus, ...
tu utiliseras ensuite la méthode prepare du PDO, qui offre un premier niveau de protection.
ensuite, ne pas faire confiance en ce que tu reçois via le $_GET. il est donc utile de vérifier que ce que tu reçois est légitime, ne contient que les caractères attendus, ...
