JeuWeb - Crée ton jeu par navigateur
sécurité blind injection sql - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : sécurité blind injection sql (/showthread.php?tid=6955)

Pages : 1 2 3


RE: sécurité blind injection sql - Xenos - 02-09-2013

Il suffit de lire la doc de header() pour trouver header("Location: ...");
Si tu relis mon post, comme l'as re-"ajouté" julp, $ip n'est pas échappée et peu donc contenir n'importe quoi (puisqu'elle contient une valeur qui vient du client, malgré son nom, $_SERVER ne contient pas que des données serveur).

Pour intval() == 0, Julp, je ne ferai pas l'échappement avant, je traiterai juste le cas "intval() == 0", pour être certain de ne rien laisser filer; mais on peut faire les deux (filtre whitelist voire blacklist avant le intval() et traitement du intval() == 0 ensuite).

("2aaie:..." n'est surement pas une IPv6 normalisée :p [/troll])


RE: sécurité blind injection sql - niahoo - 02-09-2013

haha oui pas faux


RE: sécurité blind injection sql - hercull - 02-09-2013

Merci j'ai echapé $ip.

Pour ma question : je suis entrain de modifier toutes mes requêtes en passant utilisant PDO et des requêtes préparés, dois je poursuivre ou cela est inutile?


RE: sécurité blind injection sql - Xenos - 02-09-2013

Je dirai que c'est inutile si ton code est déjà fonctionnel et sécurisé (anti-injection). Passer à PDO avec l'argument "PDO me permettra de passer de MySQL à Postgres ou autre SGDB facilement" revient à régler un potentiel problème à venir dès maintenant...


RE: sécurité blind injection sql - niahoo - 02-09-2013

(02-09-2013, 08:41 PM)Xenos a écrit : Je dirai que c'est inutile si ton code est déjà fonctionnel et sécurisé (anti-injection).

PDO est pas mal pour ça, faut pas s'en priver. Sinon prends carrément un bon ORM

(02-09-2013, 08:41 PM)Xenos a écrit : Passer à PDO avec l'argument "PDO me permettra de passer de MySQL à Postgres ou autre SGDB facilement" revient à régler un potentiel problème à venir dès maintenant...

Disons plutôt que c'est s'assurer d'avoir un code moins couplé, plus extensible et adaptable, et la possibilité de séparer plus facilement les couches pour avoir une base saine de développement.


RE: sécurité blind injection sql - hercull - 03-09-2013

Pas compris je me suis fais bannir pour spamming? Et la je suis plus ban??bref merci pour votre aide sa ma beaucoup aidé.


RE: sécurité blind injection sql - Xenos - 03-09-2013

Mouais, enfin, "une base saine de développement", disons que je trouve cela un peu dommage de "perdre" du temps maintenant en passant en PDO au lieu de finir un projet fonctionnel pour seulement ensuite passer à PDO ("Work Right Fast", dans cet ordre, et pas tout en même temps Wink).
Mais les deux approches sont probablement acceptable, tout dépend de quand t'as le courage de passer à PDO: maintenant? ou plus tard?

Cela peut aussi devenir assez bazardeux et mélasseux si hercull utilise PDO (objet) dans un code qui semble plutôt orienté "script".


RE: sécurité blind injection sql - niahoo - 03-09-2013

non mais ok si ton projet est déjà fini c'est un peu tard, mieux vaut sortir une version fonctionnelle, je suis d'accord. Mais bon là son truc est déjà en ligne et il a besoin de le sécuriser. je pense que c'est une bonne idée de mettre du code plus propre et au passage de faire ce que je disais


RE: sécurité blind injection sql - Xenos - 03-09-2013

Ah, dans ce cas, ok (je n'ai pas l'habitude de m'occuper de la sécurité en dernier, avant voire pendant la release :p)