21-11-2008, 02:29 PM
Ekilio a écrit :Certes, mais dans ce cas, un autre exemple des dangers du non-typage :
Code PHP :<?php
$id = '0; DROP TABLE table';
'SELECT * FROM table WHERE id = ' . $id;
Et là, mine de rien tu viens de perdre toutes tes données...
Cela dit, je suis d'accord sur le fait que le typage seul ne suffit pas. Mais ça reste une mesure de sécurité très importante, à mes yeux.
Que ton utilisateur qui sélectionne puisse DROP c'est déjà un trou en soit ^^
Citation :Désolé d'être un peu sec, mais toutes ces considération n'ont même pas lieu d'être.
Les bonnes pratiques du développement et de la sécurité veulent qu'on valide d'abord les données puis qu'on les utilises une fois qu'elles sont garanties fiables. Ça règle le problème des trous de sécurité et c'est propre.
Tout à fait d'accord ^^
Sans allez forcement vers le framework, y'a tout un tas de classes qui font cela très bien. Maintenant faut arrêter, le typage ne change rien à la sécurité, dans tous les exemples donnés, c'est un pansement, à des problèmes en amont.