Heu, ce n'est pas ce qu'en disent les résultats de mon outil d'analyse:
![[Image: BDD-muzikazia-small.png]](http://www.reinom.com/work-in-progress/BDD-muzikazia-small.png)
(le mot de passe est bien en clair, mais ne rêvez pas: je l'ai modifié, légèrement, juste assez pour que @Khaotik puisse constater que c'est bien ce pass)
Et non, l'erreur rencontrée n'est pas "rien de plus qu'une erreur concernant les caractères spéciaux", c'est une erreur méthodologique: il faut vérifier toutes les entrées de l'utilisateur (y compris leur existence: on peut appeler la page de recherche sans paramètre POST), et faire très attention à l'endroit où on insère ces entrées (les requêtes préparées évitent beaucoup de prise de tête de ce point de vue là et sont très bien adaptée à cette fonction de sécurisation).
Sinon, on laisse une opportunité Rémigaillardienne: n'importe qui peut venir faire n'importe quoi avec la BDD (là, comme tu le vois à gauche de l'image, l'outil d'analyse a récupéré la totalité de la BDD de Muzikazia...)
Ne perdez jamais de vue que les pages ne sont pas chainées: même si vous avez prévu que la page B ne soit accédée qu'après avoir cliqué sur un bouton / validé un formulaire de la page A, cette page B peut très bien être appelée par n'importe qui, n'importe quand, via n'importe quelle autre page et avec n'importe quelle autre(s) entrée(s).
(Topic à scinder si tu ne veux pas que j'envahisse ton topic de présentation ^^)
![[Image: BDD-muzikazia-small.png]](http://www.reinom.com/work-in-progress/BDD-muzikazia.png)
(le mot de passe est bien en clair, mais ne rêvez pas: je l'ai modifié, légèrement, juste assez pour que @Khaotik puisse constater que c'est bien ce pass)
Et non, l'erreur rencontrée n'est pas "rien de plus qu'une erreur concernant les caractères spéciaux", c'est une erreur méthodologique: il faut vérifier toutes les entrées de l'utilisateur (y compris leur existence: on peut appeler la page de recherche sans paramètre POST), et faire très attention à l'endroit où on insère ces entrées (les requêtes préparées évitent beaucoup de prise de tête de ce point de vue là et sont très bien adaptée à cette fonction de sécurisation).
Sinon, on laisse une opportunité Rémigaillardienne: n'importe qui peut venir faire n'importe quoi avec la BDD (là, comme tu le vois à gauche de l'image, l'outil d'analyse a récupéré la totalité de la BDD de Muzikazia...)
Ne perdez jamais de vue que les pages ne sont pas chainées: même si vous avez prévu que la page B ne soit accédée qu'après avoir cliqué sur un bouton / validé un formulaire de la page A, cette page B peut très bien être appelée par n'importe qui, n'importe quand, via n'importe quelle autre page et avec n'importe quelle autre(s) entrée(s).
(Topic à scinder si tu ne veux pas que j'envahisse ton topic de présentation ^^)