Est ce sécurisé de concaténer dans une requête sql ?
ZombieBot0001
Messages postés
41
Date d'inscription
Statut
Membre
Dernière intervention
-
jordane45 Messages postés 38486 Date d'inscription Statut Modérateur Dernière intervention -
jordane45 Messages postés 38486 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
C'est dans le titre.
Voici un exemple :
Cordialement.
C'est dans le titre.
Voici un exemple :
$dbreq[1] = $ddb['f']->execute('SELECT * FROM `'.$id.'` WHERE id=`'.$seg.'`');
Cordialement.
A voir également:
- Est ce sécurisé de concaténer dans une requête sql ?
- Mode sécurisé samsung - Guide
- Concatener deux cellules excel - Guide
- Mode securise tele tcl ✓ - Forum Téléviseurs
- Inverse de concatener excel ✓ - Forum Bureautique
- Excel - Inverse de Concatenate ✓ - Forum Excel
4 réponses
Bonjour,
Le mieux est d'utiliser le BINDING de variables si tu travailles en mysqli ou les requêtes préparées si tu bosses en PDO
Par contre, le binding (ou les requêtes préparées) ne fonctionnent que pour les variables que tu utilises dans le WHERE de tes requêtes..... pour ce qui est du FROM , là tu n'as pas d'autres choix
Bien entendu, le risque ne dépend, en réalité, que de la provenance des variables....
Si elles sont accessible à l'utilisateur (soit car elles proviennent d'un formulaire html soit car elles sont envoyées via l'url )
Le mieux est d'utiliser le BINDING de variables si tu travailles en mysqli ou les requêtes préparées si tu bosses en PDO
Par contre, le binding (ou les requêtes préparées) ne fonctionnent que pour les variables que tu utilises dans le WHERE de tes requêtes..... pour ce qui est du FROM , là tu n'as pas d'autres choix
Bien entendu, le risque ne dépend, en réalité, que de la provenance des variables....
Si elles sont accessible à l'utilisateur (soit car elles proviennent d'un formulaire html soit car elles sont envoyées via l'url )
Dans mon cas, la variable pour le FROM provient du formulaire...
Que faut-il faire pour sécuriser cela ?
Que faut-il faire pour sécuriser cela ?
Et bien.. dans ton formulaire tu proposes un "select" (une liste déroulante) avec le nom de tes tables et renvoyant vers un ID
et côté php tu gères avec des if/else ou un SWITCH l'écriture du nom "réel" de ta table
Par exemple
et côté php
NB: Tu sembles bosser en PDO.. je t'invite donc à lire et à appliquer ce qui est indiqué ici : https://forums.commentcamarche.net/forum/affich-37584941-php-pdo-gerer-les-erreurs
Et également, vu que tu sembles débutant...ceci :
https://forums.commentcamarche.net/forum/affich-37584947-php-gestion-des-erreurs-debogage-et-ecriture-du-code
et pour finir, ça ne fait pas de mal.. ) ça :
https://forums.commentcamarche.net/forum/affich-37584944-php-html-caracteres-accentues-et-l-utf8
Voila.
https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/
et côté php tu gères avec des if/else ou un SWITCH l'écriture du nom "réel" de ta table
Par exemple
<select name="table"> <option value="1">Ma table 1</option> <option value="2">Ma table 2</option> </select>
et côté php
$table = !empty($_POST['table']) ? $_POST['table'] : NULL;
switch($table){
case 1:
$laTable= "tabletoto";
break;
case 2:
$laTable= "tabletruc";
break;
default:
echo "Table inconnue !!";
break;
}
$sql = "'SELECT * FROM `'.$laTable.'`";
try{
$ddb['f']->execute($sql);
}catch(Exception $e){
echo "<br> Erreur dans la requête : <br>".$sql;
echo "<br> Erreur : ". $e->getMessage();
}
NB: Tu sembles bosser en PDO.. je t'invite donc à lire et à appliquer ce qui est indiqué ici : https://forums.commentcamarche.net/forum/affich-37584941-php-pdo-gerer-les-erreurs
Et également, vu que tu sembles débutant...ceci :
https://forums.commentcamarche.net/forum/affich-37584947-php-gestion-des-erreurs-debogage-et-ecriture-du-code
et pour finir, ça ne fait pas de mal.. ) ça :
https://forums.commentcamarche.net/forum/affich-37584944-php-html-caracteres-accentues-et-l-utf8
Voila.
https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/
Le plus propre serait alors de faire un autocomplete.
Ainsi tu laisses la "liberté" de saisir le le nom d'une table qui existe réellement.... sans laisser à l'utilisateur la possibilité d'écrire n'importe quoi.
Côté code, tu peux aussi, avant ta requête SELECT, t'assurer que le nom de la table existe...
Cela sécuriserait un minimum....
Ainsi tu laisses la "liberté" de saisir le le nom d'une table qui existe réellement.... sans laisser à l'utilisateur la possibilité d'écrire n'importe quoi.
Côté code, tu peux aussi, avant ta requête SELECT, t'assurer que le nom de la table existe...
Cela sécuriserait un minimum....
Je reviens sur un message précédent...
Tu indiques :
Là... je vois deux soucis ...
Primo... comment peux tu avoir des "millions" de tables dans ta bdd ?
Secondo.. qu'est-ce qui justifie qu'un utilisateur puisse avoir accès à cette liste de tables ?
Tu indiques :
J'ai besoin que l'utilisateur puisse choisir (En saisissant une chaîne de caractères) une table parmi des millions
Là... je vois deux soucis ...
Primo... comment peux tu avoir des "millions" de tables dans ta bdd ?
Secondo.. qu'est-ce qui justifie qu'un utilisateur puisse avoir accès à cette liste de tables ?