slaxswf
Messages postés32Date d'inscriptionjeudi 28 décembre 2006StatutMembreDernière intervention20 mai 2007
-
14 mai 2007 à 00:38
artygone
Messages postés12Date d'inscriptiondimanche 23 janvier 2005StatutMembreDernière intervention 2 août 2008
-
2 août 2008 à 19:07
Bonsoir tout le monde ;)
Je voudrais savoir si ce code était valide à 100% contre toutes les injections sql et xss possible et connues à ce jour.
Merci de me proposer vos suggestions et améliorations si besoin ;)
Sinon, ton code n'est pas correct : mysql_real_escape_string prend en argument une variable de typy string. Dans ta fonction, tu ne fais aucun contrôle là-dessus, alors qu'il le faut.
C'est pour ça que tu utilises un @ : c'est une mauvaise méthode.
Si tu fais stripslashes et que les Magic Quotes ne sont pas activés, tu te retrouves dans la mouize. C'est pour ça que dans la doc de PHP il est précisé :
if(get_magic_quotes_gpc()) {
$product_name = stripslashes($_POST['product_name']);
$product_description = stripslashes($_POST['product_description']);
} else {
$product_name = $_POST['product_name'];
$product_description = $_POST['product_description'];
}
- Stripslashes pour les magics quotes
- htmlspecialcharts pour convertir les caractères html
- htmlsentities pour les afficher convertit
et mysql_real_escape_string pour echapper les caractères interdits.
comment vérifier que ma variable est de type string ? Merci d'avance pour ton aide.