securité : quelle est la meilleure solution ?

bonjour voila j'aurait une petit question securitée,

je voulais avoir quelle est la meilleure methode pour eviter toute injection sql et code malveillant.

jusqu'a present j'appliquait a toute variable recuperé par la fonction $_GET ou $_POST :

Code:

$mavariable=htmlentities($mavariable, ENT_QUOTES);

et j'envisageait d'y faire suivre :

Code:

$mavariable=addslashes($mavariable);

mais on m'a conseillé de plutot appliquer cela :

Code:

$mavariable = htmlspecialchars($mavariable); // Pour virer les chevrons, etc. $mavariable = mysql_real_escape_string($mavariable); // Pour protéger la fonction des caractères spéciaux des requêtes SQL.

quelle est la meilleure solution ? y a t il quelquechose de mieux? que me conseillez vous?

merci par avance

que veux tu eviter ? les <script> et autres <...> ?
si tu utilises une BDD, entre les données comme ça sans filtrage, puis a la sortie, fait un simple "str_replace("<","&lt;",$var);" et "str_replace(">","&gt;",$var);"
si tu veux vraiment tout tout tranformer, alors euh addslashes() n'est pas la bonne soluce, les deux autres HTML.... sont les meilleures, regarde les exemples sur php.net ils sont bien descriptifs.



Mon site DELPHI =)

slt merci d eta reponse, ben queceque je veux bloquer? enfait je ne m'y connait pas au niveau de la securitée mais mais je sais que si je filtre pas les donées recuperé je m'expose a des souci de securité comme l'injection sql ou je ne sais quoi. la seule menace que j'ai bien comprise c'est l'injection sql, mais on m'a parlé de xss...je ne sais pas si yen a d'autre. enfin bref je voudrai savoir comment filtrer efficassemnt les donées receuilli par mes script via $_post et $_get pour evityer tout souci...

j'ai apris le php sur le site du zero des le debut des tuto il etait indiqué quil falais presque systematiquement filtrer avec htmlentities().


voila j'espre avoir ete plus clair

merci encore

Fred
http://www.f-world.net/
http://fcreation.free.fr/

Sael og blesuð

Quelques liens sortant directement de la rubrique tuto :

http://www.phpcs.com/tutoriaux/COMMENT-SECURISER-SON-SITE-EVITER-FAILLES-PHP_202.aspx
http://www.phpcs.com/tutoriaux/INJECTION-SQL-EVITEZ-FAILLES-DANS-VOS-REQUETTES_491.aspx
http://www.phpcs.com/tutoriaux/PROTECTION-CONTRE-FAILLE-XSS_424.aspx

Un petit peu de recherche cela aide des fois :-)

Bon courage ...

NB : Si la réponse vous convient merci de l'accepter pour fermer ce thread ...

Sigurjón Birgir Sigurðssón aka Sjón

merci de ta reponse apres avoir lu les tuo et avoir fait de nombreuse recherche sur le net voila ce que j'ai pu en conclure  :

pour securiser les données que je recupere par GPC  j'applique

1/ stripslashes() ->je vire tout les anti-slash eventuels (si magic_quotes_gpc est à ON.) (car magic_quotes_gpc() n'echape pas tout correctement doncje retourne a des donées brutes.

2/ mysql_real_escape_string() -> je bloque toute tentative d'injection sql en echapant tt les caracter

3/ htmlspecialchars() ->je bloque toute faille XSS mais je conserve les caractere dit speciaux contrairement a htmlentities (genre l'alphabet grec minucule et mjuscule et compagnie qui peuvent servir selon le theme du site)

je peux alors enregistrer mes données sans soucis.

c'est bien ca?