12-01-2011, 11:12 AM
J'ai une question (qui parait bête, mais qui je crois a du sens) :
Vaut-il mieux traiter contre les injections SQL :
1°)toutes les entrées utilisateurs (POST, GET, COOKIE, ...) ?
2°)chaque variable séparément?
3°)Le faire dans une méthode qui va utiliser la DB? (accès uniquement à la DB via cette méthode)
J'ai commencé la méthode 2, mais c'est pas facilement maintenable. La méthode 1 me semble un peu trop radicale, et la méthode 3, je ne vois pas trop comment l'implémenter. P-e via les requêtes préparées?
Et donc, implicitement, il faudrait avoir une méthode de rendu qui ferait un htmlentites de tout SELECT destiné a l'affichage?
Vaut-il mieux traiter contre les injections SQL :
1°)toutes les entrées utilisateurs (POST, GET, COOKIE, ...) ?
2°)chaque variable séparément?
3°)Le faire dans une méthode qui va utiliser la DB? (accès uniquement à la DB via cette méthode)
J'ai commencé la méthode 2, mais c'est pas facilement maintenable. La méthode 1 me semble un peu trop radicale, et la méthode 3, je ne vois pas trop comment l'implémenter. P-e via les requêtes préparées?
Et donc, implicitement, il faudrait avoir une méthode de rendu qui ferait un htmlentites de tout SELECT destiné a l'affichage?
Je signale que je ne détiens pas la vérité unique et absolue, je peux me tromper. La critique peut aussi être constructive. Critiquez moi!
La quête d'Ewilan
http://easy2hack.ma-soiree.be
La quête d'Ewilan
http://easy2hack.ma-soiree.be