Sécurité...

Répondre
Citer ce message
Bzh
le 05/03/2005 à 20:13
Bzh
addslashes() est une très mauvaise idée !!!!

Un reflex qu' il faut absolument perdre !!!!

A utiliser absolument mysql_escape_string() !!!

Et pkoi ? Et bien tout simplement parce que addslashes() ne protège pas contre le "#" par exemple (permet de mettre des commentaires) !!!

Une bonne protection serait:

<?php



$identifiant = mysql_escape_string(trim($_POST['T1']));





?>


trim() supprime les espaces en début et fin de chaines de caractères !!!

Voilà...

Ciao...
Citer ce message
Rex
le 05/03/2005 à 21:33
Rex
htmlentities n'est pas nécessaire, htmlspecialchars est largement suffisant.

De même, inutile de faire un addslashes si on utilise ENT_QUOTES dans un htmlspecialchars.
Un hamster dit : J'ai dressé le scientifique, quand j'appuie sur le bouton, il me donne des graines
Citer ce message
agilis
le 05/03/2005 à 21:36
agilis
Merci beaucoup pour tout ces conseils... Mais ce ne serait pas mieux avec la foction htmlspecialchar en plus?
<?php



$id = mysql_escape_string(trim(htmlspecialchar($_POST['T1'])));



?>

Comment faire pour n'autoriser que certain caractère dans une chaine?

encore merci! smiley
Merci à tous!! agilis...
Citer ce message
mobman02
le 05/03/2005 à 23:16
mobman02
BzH tu m'etonne... je ne connaisait pas la fonction mysql_escape_string alors je me suis renseigner ans le manuel, et ya une note:

Note

Cette fonction est dépréciée depuis PHP 4.3.0. Ne l'utilisez pas. Utilisez la fonction mysql_real_escape_string à la place.

et je vous conseille de lire la doc de cette fonction ya un exemple interressant.
Mais dans le dernier exemple j'ai rien compris car il cree une fonction mais il ne l'utilise meme pas lol...
http://damienalexandre.fr/
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours