25-03-2016, 03:37 PM
(Modification du message : 25-03-2016, 04:03 PM par L'Omniscient.)
Mais pour onmouseover="alert('et Boum');" il faut ouvrir une balise, si strip_tag efface la balise, ça ne fonctionnera pas non ?
(Xenos, je n'ai pas de $_GET, que des $_POST, presque tous en traitement Ajax).
Et les injections SQL, ça fonctionne uniquement via des balises PHP ?
Et quant tu dis que la machine ne sait pas que $id est un 'paramètre', tu entends quoi par là ?
J'ai des commandes comme ça moi :
prepare('UPDATE table SET tot = "'.$soustrait.'" WHERE ID = "'.$ID.'" AND obj = "'.$ressource.'"')
Sachant que $ID correspond à $SESSION_ID et que $soustrait et $ressource sont en strip_tag juste avant l'insertion en SQL.
Ca me stresse ces histoires de sécurité >,...,<
EDIT : Autre question, peut-on modifier des tableaux JSON via le code source ?
J'ai essayé, j'arrive bien à modifier la donner dans mon code source, mais la modification ne fonctionne pas... (Si on peut vraiment pas modifier, j'en suis heureux )
En fait j'ai même l'impression de pas pouvoir modifier le Javascript Oo Par exemple je peux appeler mon ID en alert, mais je peux pas modifier la valeur de l'ID
(Xenos, je n'ai pas de $_GET, que des $_POST, presque tous en traitement Ajax).
Et les injections SQL, ça fonctionne uniquement via des balises PHP ?
Et quant tu dis que la machine ne sait pas que $id est un 'paramètre', tu entends quoi par là ?
J'ai des commandes comme ça moi :
prepare('UPDATE table SET tot = "'.$soustrait.'" WHERE ID = "'.$ID.'" AND obj = "'.$ressource.'"')
Sachant que $ID correspond à $SESSION_ID et que $soustrait et $ressource sont en strip_tag juste avant l'insertion en SQL.
Ca me stresse ces histoires de sécurité >,...,<
EDIT : Autre question, peut-on modifier des tableaux JSON via le code source ?
J'ai essayé, j'arrive bien à modifier la donner dans mon code source, mais la modification ne fonctionne pas... (Si on peut vraiment pas modifier, j'en suis heureux )
En fait j'ai même l'impression de pas pouvoir modifier le Javascript Oo Par exemple je peux appeler mon ID en alert, mais je peux pas modifier la valeur de l'ID