+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : sécurité blind injection sql (/showthread.php?tid=6955)
RE: sécurité blind injection sql - Xenos - 02-09-2013
Il suffit de lire la doc de header() pour trouver header("Location: ...");
Si tu relis mon post, comme l'as re-"ajouté" julp, $ip n'est pas échappée et peu donc contenir n'importe quoi (puisqu'elle contient une valeur qui vient du client, malgré son nom, $_SERVER ne contient pas que des données serveur).
Pour intval() == 0, Julp, je ne ferai pas l'échappement avant, je traiterai juste le cas "intval() == 0", pour être certain de ne rien laisser filer; mais on peut faire les deux (filtre whitelist voire blacklist avant le intval() et traitement du intval() == 0 ensuite).
("2aaie:..." n'est surement pas une IPv6 normalisée :p [/troll])
RE: sécurité blind injection sql - niahoo - 02-09-2013
haha oui pas faux
RE: sécurité blind injection sql - hercull - 02-09-2013
Merci j'ai echapé $ip.
Pour ma question : je suis entrain de modifier toutes mes requêtes en passant utilisant PDO et des requêtes préparés, dois je poursuivre ou cela est inutile?
RE: sécurité blind injection sql - Xenos - 02-09-2013
Je dirai que c'est inutile si ton code est déjà fonctionnel et sécurisé (anti-injection). Passer à PDO avec l'argument "PDO me permettra de passer de MySQL à Postgres ou autre SGDB facilement" revient à régler un potentiel problème à venir dès maintenant...
RE: sécurité blind injection sql - niahoo - 02-09-2013
(02-09-2013, 08:41 PM)Xenos a écrit : Je dirai que c'est inutile si ton code est déjà fonctionnel et sécurisé (anti-injection).
PDO est pas mal pour ça, faut pas s'en priver. Sinon prends carrément un bon ORM
(02-09-2013, 08:41 PM)Xenos a écrit : Passer à PDO avec l'argument "PDO me permettra de passer de MySQL à Postgres ou autre SGDB facilement" revient à régler un potentiel problème à venir dès maintenant...
Disons plutôt que c'est s'assurer d'avoir un code moins couplé, plus extensible et adaptable, et la possibilité de séparer plus facilement les couches pour avoir une base saine de développement.
RE: sécurité blind injection sql - hercull - 03-09-2013
Pas compris je me suis fais bannir pour spamming? Et la je suis plus ban??bref merci pour votre aide sa ma beaucoup aidé.
RE: sécurité blind injection sql - Xenos - 03-09-2013
Mouais, enfin, "une base saine de développement", disons que je trouve cela un peu dommage de "perdre" du temps maintenant en passant en PDO au lieu de finir un projet fonctionnel pour seulement ensuite passer à PDO ("Work Right Fast", dans cet ordre, et pas tout en même temps
).Mais les deux approches sont probablement acceptable, tout dépend de quand t'as le courage de passer à PDO: maintenant? ou plus tard?
Cela peut aussi devenir assez bazardeux et mélasseux si hercull utilise PDO (objet) dans un code qui semble plutôt orienté "script".
RE: sécurité blind injection sql - niahoo - 03-09-2013
non mais ok si ton projet est déjà fini c'est un peu tard, mieux vaut sortir une version fonctionnelle, je suis d'accord. Mais bon là son truc est déjà en ligne et il a besoin de le sécuriser. je pense que c'est une bonne idée de mettre du code plus propre et au passage de faire ce que je disais
RE: sécurité blind injection sql - Xenos - 03-09-2013
Ah, dans ce cas, ok (je n'ai pas l'habitude de m'occuper de la sécurité en dernier, avant voire pendant la release :p)