Forum

Bonjour à tous,

Je voudrais sécuriser un formulaire des injections SQL mais malheureusement je me perd un peu dans la doc et je ne sais pas vraiment que faire.

J'ai essayé ceci -> $title = !empty($_POST['title']) ? securit($_POST['title']) : '';
Mais malheureusement j'ai le droit à une erreur en retour.
Donc actuellement j'utilise $mark_box = retrieve(POST, 'mark_box', ''); mais ce n'est pas sécurisé.

Pouvez-vous me donner plus d'info sur les retrieve.

Merci par avance.

La fonction retrieve ajoute par défaut la protection contre les injections SQL. Elle renvoie une chaine de caractères dans laquelle les caractères susceptibles de causer des injections SQL sont échappés.

Le code que tu as mis avec retrieve est donc correct.

Il y a une possibilité complémentaire spécifique à mysql :

Utiliser $Sql->escape sur les champs à protéger (en général des strings) qui appelle mysql_real_escape_string qui est la fonction prévue pour protéger contre les injections de code SQL.

Dans le cas particulier des strings, il faut alors utiliser retrieve avec un argument TSTRING_UNCHANGE afin de nettoyer la chaine d'éventuels / ajouter par un paramétrage MAGIC_QUOTE sans en ajouter comme dans le comportement de retrive par défaut.

D'accord. Merci beaucoup je vais appliquer tout ça ;-)