Protection variable php contre les injections ?

[Stellvia]

Bonjour,

J'ai une variable qui ne doit contenir que des chiffres, je la récupère comme ceci :

$id = filter_var($_GET['id '], FILTER_SANITIZE_NUMBER_INT);

Comme ca je suis certain qu'elle a que des chiffres.

Y a t-il besoin d'ajouter en plus

mysqli_real_escape_string

pour enregistrer dans mysql ou cela ne sert à rien ?

 

[spout]

De toute façon TOUTES tes données sont échappées automatiquement n'est-ce pas ?
(Si tu codes encore façon 1920, je pense a du code genre : http://snipplr.com/view/3567/ )

 

[Stellvia]

Je ne comprend pas ta réponse.

Mes variables sont filtrer selon les besoins, j'ai pris l'exemple le plus simple avec les chiffres.

Autre exemple :

$variable=preg_replace("#[^0-9a-zA-Z-_]#","",$_GET['variable']);

si j'ai besoin de ces symboles.


Je ne sais pas si c'est ca que tu appelle coder façon 1920.


Je voudrais savoir si mysqli_real_escape_string dois être utilisé tout le temps, ou si c'est seulement quand la variable est utilisé "brut" ?

C'est surtout une histoire de perf, je veux pas ajouter du code qui sert à rien.

 

[spout]

Pour être sûr, tout le temps.

 

[FortTrafic]

Moi si une variable ne doit contenir que des chiffres je ne me casse pas la tête :
$id = intval($_GET['id']);

en sachant que 0 n'est pas une id valide pour moi.

Sinon pour ta question, pas besoin d'utiliser la fonction mysqli si tu as déjà filtré les caractères que tu acceptes quand ce n'est que des chiffres ou des lettres ou d'autres mais sans les usual suspects.

 

[manoa.ratefiarison]

Bonjour,

Plus facile, utiliser PDO et préparer ses requêtes. Plus d'info : http://goo.gl/kUFGKi

Mais je pense qu'il faudra refaire toute ta partie base de données dans ce cas ...

 

[spout]

Plus facile, utiliser PDO et préparer ses requêtes. Plus d'info : http://goo.gl/kUFGKi

Attention parce que son astuce avec l'apostrophe et le stripslashes c'est une connerie ... car une seule quote va être passée uniquement lors de la query pour échapper mais sera pas enregistré dans la DB. Le gars avait probablement les magic quotes activées et donc 2 antislashes.