Bonnes pratiques du SQL

[corentone]

Salut Pascaltje et les autres
merci pour cette piqure de rappel qui fait du bien

Neanmoins je me pose des questions sur la securité:
Quels fonctions dois-je executer a tout prix sur mes variables avant tout traitement SQL?

Code :

magic_quotes_gpc On On
magic_quotes_runtime Off Off
magic_quotes_sybase Off Off

Ceci concerne mes magic_quote. j'ai vu qu'il n'etait pas conseillé de faire un addslash lorsque les magic quote sont actifs...Votre avis?

Je pense faire un mysql_real_escape string. mais lorsque je recupere les données je rajoute des slashs?

Concernant mysql_real_escape_stringManuel mysql)

Code :

Note: Si magic_quotes_gpc est activée, appliquez d'abord la fonction stripslashes() à vos données. Utiliser cette fonction sur des données qui ont déjà été protégées, les protègera une deuxième fois.

Donc je ne sais plus a quoi obeir! Dois-je executer une fonction meme si les magic quotes sont activés?Dois-je faire un addslash et ensuite faire un stripslash lors de la recuperation, ou bien un mysql_real_escape_string?Ou bien les trois?

Voila...j'espere que cette question et vos reponses pourront aider d'autres personnes
Merci et a bientot!
Corentone

[Plume]

Désactiver les magic quotes et toujours travailler comme si elles étaient désactivées. Ainsi que faire une vérification de l'activité par défaut ou non des magic quotes. Fais une recherche sur le fofo, question déjà discutée

[corentone]

Merci Damen! C'est vrai que j'avais negligé la recherche cette fois desolé :heuuu:, je voulais profiter de ce topic et j'espere que ce point sera plus abordé dans le tuto

D'apres ce que j'ai pu voir du topic:

Code PHP :

<?php 

Code PHP :



if(get_magic_quotes_gpc()) 

{

         $log = stripslashes($_POST['login']);

         $pass = stripslashes($_POST['pass']);

}

else

{    

         $log = $_POST['login'];

         $pass = $_POST['pass'];

}

       

$log =  mysql_real_escape_string($log);

$pass = mysql_real_escape_string($pass);



$requete = "SELECT login, password, id, droitsAdmin FROM users WHERE login='".$log."' AND password='".$pass."'";

$exec_req = mysql_query($requete) or die ('erreur de connexion');

$row = mysql_fetch_row ($exec_req);

        

if ($row[0] == null )

{

    $this->mauvaislog= "Votre login ou votre mot de passe sont incorrects.";

}

else 

{

        //connexion

} 

[naholyr]

Le plus simple pour désactiver les magic_quotes_gpc une bonne fois pour toute si jamais tu n'as pas accès au php.ini, c'est de placer ce bout de code dans le fichier qui est systématiquement inclus dans toutes tes pages avant toute autre exécution (on a toujours un «inc/common.php» pour cet usage) :

Code PHP :

<?php 

if(get_magic_quotes_gpc()) {

  foreach ($_GET    as $i => $value) if (is_string($value)) $_GET[$i]    = stripslashes($value);

  foreach ($_POST   as $i => $value) if (is_string($value)) $_POST[$i]   = stripslashes($value);

  foreach ($_COOKIE as $i => $value) if (is_string($value)) $_COOKIE[$i] = stripslashes($value);

} 

[corentone]

Merci pour le tuyau naholyr je vais le mettre dans mon code

[naholyr]

On me dit dans l'oreillette que mon code était très mauvais tel quel puisqu'il risquait de transformer tous tes tableaux (genre dans les cookies) en un vilain "Array" peu explicite.
Il faut bien sûr vérifier qu'on a bien une chaine avant d'appliquer le stripslashes (code édité).

[Haiken]

Voici le code que j'utilise, qui a l'avantage de traiter les tableaux récursivement :

Code PHP :

<?php 

set_magic_quotes_runtime(FALSE);

if(get_magic_quotes_gpc()){

        function remove_magic_quotes(&$var) {

                if(is_array($var)){

                        array_walk($var, "remove_magic_quotes");

                } else if (is_string($var)) {

                        $var=stripslashes($var);

                }

        }

       

        remove_magic_quotes($_POST);

        remove_magic_quotes($_GET);

        remove_magic_quotes($_REQUEST);

        remove_magic_quotes($_COOKIE);

} 

[Plume]

Ca vient quand le chapitre 2 ?

[Zamentur]

tuto disponible au format wiki
C'est ici

NB: j'ai pas fait de modif, j'ai juste mis en forme donc hésitez pas à modifier corriger ...