Contrer SQL InjectionRésolu

Question

Bonjour,
Je viens de me rendre compte que mon site est vuln&#233;rable &#224; SQL Injection.
J'avais dans l'id&#233;e de ne pas autoriser les caract&#232;res sp&#233;ciaux lors de la saisie des zones de formulaire...
Quelqu'un aurait-il une liste exhaustive des caract&#232;res &#224; interdire (', #, ...) et comment faudrait-il coder &#231;a???
D'apr&#232;s-vous est-ce la bonne solution ou est-ce mieux de modifier MAGIC QUOTES dans PHPini??
D'avance merci pour votre aide

cocom84 · Accepted Answer

Chuis trop con!! J'avais laisser un acc&#232;s &#224; ma base avant d'appeler la fontion eregi...
Effectivement &#231;a marche beaucoup mieux maintenant
Merci beaucoup!!

malalam · Answer

Hello,



mysql_real_escape_string () pour toute saisie utilisateurs devant aller dans la base, et ca ira.

magic quotes devrait touours etre a off, c'est chiant ce truc. Il vaut mieux gerer soi-meme.

malalam · Answer

Enfin ca ira...ca contrera la majorite des injections sql en tous cas.

cs_Anthomicro · Answer

Salut, if(!eregi("[\^'$()*+<>?#"{}\]",$chaine)) { //c'est bon } j'utilise ça sur mon site ça fonctionne très bien.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

cocom84 · Answer

J'ai essay&#233; la solution de Anthomicro, &#231;a &#224; l'air de marcher sauf pour les simples quotes o&#249; la fonction ne d&#233;tecte pas de caract&#232;res sp&#233;ciaux... &#231;a fait &#231;a chez toi aussi?

cs_Anthomicro · Answer

non chez moi ça marche parfaitement.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

Contrer SQL Injection

6 réponses

Votre réponse

Discussions similaires