vincej
Messages postés53Date d'inscriptionmardi 22 juillet 2008StatutMembreDernière intervention23 avril 2012
-
15 mai 2009 à 19:36
vincej
Messages postés53Date d'inscriptionmardi 22 juillet 2008StatutMembreDernière intervention23 avril 2012
-
15 mai 2009 à 21:54
bonjour,
Je cherche à incrémenter la date et l'heure actuelle, dans la base.
TychoBrahe
Messages postés1309Date d'inscriptionsamedi 31 janvier 2009StatutMembreDernière intervention 5 juin 201312 15 mai 2009 à 19:57
Salut,
Si par «incrémenter la date et l'heure» tu entends mettre la date et l'heure actuelle, tu peux utiliser NOW() sans les quotes autour.
Sinon quelques remarques :
- C'est extrêmement dangereux d'utiliser directement une saisie utilisateur dans une requête SQL (et pas uniquement ici d'ailleurs), cf injections de sql.
- Pourquoi ne rien insérer dans certains champs ? Autant ne pas les préciser dans la liste des champs.
kohntark
Messages postés3705Date d'inscriptionlundi 5 juillet 2004StatutMembreDernière intervention27 avril 201230 15 mai 2009 à 20:36
Salut,
Par contre j'ai compris, c'est dangereux que je montre mon code. =>
Heu, non, je ne pense pas que tu ais compris, ou alors c'est moi
Je ne pense pas que c'était ce que TychoBrahe voulait dire (et c'était d'ailleurs très clair)
C'est extrêmement dangereux d'utiliser directement une saisie utilisateur En l'occurrence tu utilises $_GET[Ph] qui est une variable passée dans l'url, l'utilisateur peut donc y entrer ce qu'il veut, ce qui pose un gros pb de sécurité. Même chose pour les requêtes POST.
T'es tu renseigné sur "cf injections de sql" ?
kohntark
Messages postés3705Date d'inscriptionlundi 5 juillet 2004StatutMembreDernière intervention27 avril 201230 15 mai 2009 à 20:55
Plus de sécurité avec les sessions ??? ... rien de moins sur, tout dépend comment on les mets en oeuvre.
Avec la requête que tu fournies (aucune trace de session d'ailleurs) il est ultra simple de faire de l'injection. Il est ainsi possible de corrompre ta base et sans doute de rendre inutilisable ton site. Les sessions n'apportent aucune sécurité dans ce cas.
Vu que tu t'es renseigné sur les injections SQL tu as vu qu'il fallait systématiquement traiter les variables provenant de l'utilisateur (GET et POST) par, par exemple, mysql_real_escape_string, PDO, etc ...