Pour trouver le gars qui te cause problème, en début de page tu scan tout tes $_GET et $_POST et tu y cherche une quelconque instruction SQL: SELECT, UPDATE, INSERT, WHERE
Vite fait et non testé, je te propose ce bout de code:
Vite fait et non testé, je te propose ce bout de code:
Code PHP :
<?php
foreach($_POST as $index => $valeur)
{
if(pregmatch('#UPDATE#',$valeur) OR pregmatch('#SELECT#',$valeur) OR
pregmatch('#INSERT#',$valeur) OR pregmatch('#WHERE#',$valeur)
)
{
//Cas typique ou il y a tentative d'injection.
//Je te conseil de t'envoyer un message (ou email) avec comme information:
//L'identifiant session du joueur (pour toi le retrouver), et une string du style "Mon trou de sécurité est dans la variable _POST[$index] = valeur dans la page $_SERVER[SCRIPT_NAME]"
}
}
Voila grossomodo, biensure pour le $_GET c'est un copier/coller et tu remplace _POST par _GET.
La, tu es certain de trouver a la fois le bonhomme et le script foireux.
Je te conseil d'étudier quelque jour comment il procède, notamment pour voir s'il y a plusieurs trou de sécurité. Etant donné que tu est en béta, c'est une bonne occasion pour sécurisé ton script.