Bonjour,
Je viens de me rendre compte que mon site est vulnérable à SQL Injection.
J'avais dans l'idée de ne pas autoriser les caractères spéciaux lors de la saisie des zones de formulaire...
Quelqu'un aurait-il une liste exhaustive des caractères à interdire (', #, ...) et comment faudrait-il coder ça???
D'après-vous est-ce la bonne solution ou est-ce mieux de modifier MAGIC QUOTES dans PHPini??
D'avance merci pour votre aide

Hello,

mysql_real_escape_string () pour toute saisie utilisateurs devant aller dans la base, et ca ira.
magic quotes devrait touours etre a off, c'est chiant ce truc. Il vaut mieux gerer soi-meme.

Enfin ca ira...ca contrera la majorite des injections sql en tous cas.

Salut,

if(!eregi("[\^'$()*+<>?#\"{}\\]",$chaine))
{
    //c'est bon
}

j'utilise ça sur mon site ça fonctionne très bien.

---

• Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

J'ai essayé la solution de Anthomicro, ça à l'air de marcher sauf pour les simples quotes où la fonction ne détecte pas de caractères spéciaux... ça fait ça chez toi aussi?

non chez moi ça marche parfaitement.

---

• Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

Réponse acceptée !
Chuis trop con!! J'avais laisser un accès à ma base avant d'appeler la fontion eregi...
Effectivement ça marche beaucoup mieux maintenant
Merci beaucoup!!