Accueil > Forum > > > > Protection contre injections sql et xss
 Protection contre injections sql et xss
lundi 14 mai 2007 à 00:38:48 |
Protection contre injections sql et xss
slaxswf
|
Bonsoir tout le monde ;) Je voudrais savoir si ce code était valide à 100% contre toutes les injections sql et xss possible et connues à ce jour. Merci de me proposer vos suggestions et améliorations si besoin ;) ++ |
|
lundi 14 mai 2007 à 00:54:04 |
Re : Protection contre injections sql et xss
slaxswf
|
Voici le code :
// ANTI-INJECTION SQL + XSS
function protection($valeur) {
$valeur = str_replace("'","",$valeur);
$valeur = str_replace('"','',$valeur);
$valeur = str_replace("<","",$valeur);
$valeur = str_replace(">","",$valeur);
$valeur = addslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
}
|
|
lundi 14 mai 2007 à 07:21:08 |
Re : Protection contre injections sql et xss
neigedhiver
|
Réponse acceptée !
Salut,
Tu en fait trop : mysql_real_escape_string suffit pour la protection avant insertion dans la base de données.
Y'a une doc, il suffit de la lire : http://fr.php.net/manual/fr/function.mysql-real-escape-string.php
Elle contient des exemples qui t'éclaireront certainement.
Sinon, ton code n'est pas correct : mysql_real_escape_string prend en argument une variable de typy string. Dans ta fonction, tu ne fais aucun contrôle là-dessus, alors qu'il le faut.
C'est pour ça que tu utilises un @ : c'est une mauvaise méthode.
|
|
lundi 14 mai 2007 à 11:47:35 |
Re : Protection contre injections sql et xss
slaxswf
|
// ANTI-INJECTION SQL + XSS
function protection($valeur) {
$valeur = stripslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
}
Voilà j'ai remplacé par çà:
- Stripslashes pour les magics quotes
- htmlspecialcharts pour convertir les caractères html
- htmlsentities pour les afficher convertit
et mysql_real_escape_string pour echapper les caractères interdits.
comment vérifier que ma variable est de type string ? Merci d'avance pour ton aide.
|
|
lundi 14 mai 2007 à 12:36:42 |
Re : Protection contre injections sql et xss
neigedhiver
|
Réponse acceptée !
Re,
RTFM : http://fr.php.net/manual/fr/function.is-string.php
Si tu fais stripslashes et que les Magic Quotes ne sont pas activés, tu te retrouves dans la mouize. C'est pour ça que dans la doc de PHP il est précisé :
if(get_magic_quotes_gpc()) {
$product_name = stripslashes($_POST['product_name']);
$product_description = stripslashes($_POST['product_description']);
} else {
$product_name = $_POST['product_name'];
$product_description = $_POST['product_description'];
}
Encore une fois, RTFM : http://fr.php.net/manual/fr/function.get-magic-quotes-gpc.php
|
|
lundi 14 mai 2007 à 12:40:50 |
Re : Protection contre injections sql et xss
slaxswf
|
Réponse acceptée !
oui je savais çà.
Mais mon hébergement à magic quote active donc je l'ai rajouté ;)
Voici la fonction dans ma classe abstraite mysql terminé ;) Si le serveur à magic_quote à on bien sûr.
// ANTI-INJECTION SQL + XSS
function protection($valeur, $mode='NUMERIC') {
switch($mode) {
case 'NUMERIC' :
if ($numeric = ctype_digit($valeur)) {
$valeur = stripslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
} else {echo'no numeric';};
break;
case 'ALPHA' :
if ($alpha = ctype_alpha($valeur)) {
$valeur = stripslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
} else {echo'no alpha';};
break;
case 'ALPHA-NUMERIC' :
if ($alnum = ctype_alnum($valeur)) {
$valeur = stripslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
} else {echo'no alpha-numeric';};
break;
default:
$valeur = stripslashes($valeur);
$valeur = htmlspecialchars($valeur);
$valeur = htmlentities($valeur);
return @mysql_real_escape_string($valeur);
break;
}
}
|
|
samedi 2 août 2008 à 19:06:43 |
Re : Protection contre injections sql et xss
artygone
|
Bonjour à tous. Je cherche à sécuriser un forum que j'utilise et dont je viens de lire sur le web que ce forum était sensible aux injections SQL... Alors si j'ai tout bien comprendu  : 1- J'utilise la fonction ci dessus 2- Je l'applique à tous les paramètres transmis à ma page PHP Right or wrong? Merci d'avance de votre aide  |
|
samedi 2 août 2008 à 19:07:21 |
Re : Protection contre injections sql et xss
artygone
|
Je précise que Magic_quotes est bien à on sur mon serveur |
|
Cette discussion est classée dans : sql, protection, injections, xss
 Répondre à ce message
 Sujets en rapport avec ce message
Convertir un nombre en expression literrale en PL/SQL [ par ThReM ]
bonjour je cherche une source pour convertir un nombre en ce meme nombre mais ecris en toutes lettre (99 ==> quatre vingt dix neuf) en langage PL/SQL.
Astuce du jour #1: Comment configurer une erreur de la base de donné MySql [ par SmallToad ]
Quand vous avez de des erreurs de la base de donnée, êtes-vous déjà demander comment configurer le message d'erreur de la base de donnée MySql C'est
Formulaire et SQL [ par Christophe46 ]
Salut,J'espère trouver de l'aide sur ce forum,J'ai fait une base de données MySql, avec une table et des champs comme nom, prenom, telephone, adresse,
Formulaire et SQL [ par Christophe46 ]
Salut,J'espère trouver de l'aide sur ce forum,J'ai fait une base de données MySql, avec une table et des champs comme nom, prenom, telephone, adresse,
LA taille d'une base de donnée sql [ par FleX ]
ba en fait je suis sur Free et j'ai une base de donnée que je manipule en php.J'aimerai savoir comment c'est ty qu'on peut bien faire pour obtenir la
Debuter une base SQL pour faire du PHP [ par bowen ]
Bonjour je suis nouveau sur ce site et aussi a la prog !Bon je vous expliques mon probleme je veux creer un site sur le cinema asiatique et je vais do
SQL [ par ProGMaN007 ]
Salut,$dbserver = "localhost"; ok ça c ok$dbuser = je met quoi ?????? j utilise EasyPHP. Je met root ?$dbpass = mot de pas
PROBLEME SIMPLE [ par g0belin ]
sa me repond sa---------------------------ERREUR--------------------Réponse serveur SQL : You have an error in your SQL syntax near '@msn.com, 1234567
PROBLEME UPDATE [ par g0belin ]
JE FAIS SA:$requete2= "UPDATE membre SET cle = $id WHERE LIKE '%$login%'";ET SA ME DIS SA:Réponse serveur SQL : You have an error in your SQL syntax n
SQL Injection [ par thebigbang ]
bonjour à tous,Je cherche des infos sur la méthode du SQL Injection.. Si vous vous y connaissez un peu, merci de m'aider, me renseigner ... me donner
 Livres en rapport
|
Derniers Blogs
 ROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGEROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGE par Matthieu MEZIL
Si vous utilisez Roslyn et que vous vous voulez vous simplifier le code du code rewriter, je vous conseille d'installer mon NuGet package RoslynHelper ....(read more) ...
Cliquez pour lire la suite de l'article par Matthieu MEZIL POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|