Bonsoir,
Le 11/10/2018 à 09:23, Frédéric a écrit :
> Le 11/10/2018, bressy.frederic a écrit :
>
>
>> PHP 5.6 OU 7?
>
> 7.
>
>> Faut traiter $value1 avec mysqli_real_escape_string en procedurale
>
> Ok, je regarde ça. Merci !
Il faut vraiment faire attention lorsque tu injectes des données,
provenant d'un formulaire, dans du SQL, avec une commande comme:
$req = "INSERT INTO table (champ1) VALUES ('".$value1."')";
Imagine que l'utilisateur (sournois), mette dans "value1":
'); DROP TABLE table ;
Et bien c'est très simple : ta table "table" est détruite ...
C'est ce que l'on appelle du "SQL injection". C'est le b-a-ba du
piratage de site web.
https://fr.wikipedia.org/wiki/Injection_SQL
Et ne va surtout pas mettre du javascript sur la page pour limiter les
caractères d'entrée. En effet, comme le javascript tourne dans le
navigateur, le "pirate" peut complètement le contourner ...
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
