Je suis actuellement en train de revisiter les quelques failles de mon projet, j'en suis à check mes failles SQL.
A l'heure actuelle j'ai un système tout banal qui récupère les $_POST et les $_GET dans une fonction, qui applique un mysql_real_escape_string() et un addslashes(). A l'époque de mes premiers projets, ces deux fonctions étaient amplement sécurisantes mais je ne sais pas s'il en est toujours de même aujourd'hui.
Auriez vous d'autres conseils ?
J'aimerais aussi savoir s'il existait un équivalent de mysql_real_escape_string() en PDO ( j'ai fait une brève recherche sans succès ).
"Appeler PDO::prepare() et PDOStatement::execute() pour les requêtes qui doivent être exécutées plusieurs fois avec différentes valeurs de paramètres optimisent les performances de votre application en autorisant le pilote à négocier coté client et/ou serveur avec le cache des requêtes et les metainformations, et aident à prévenir les attaques par injection SQL en éliminant le besoin de protéger les paramètres manuellement."
et si jamais tu décides de pas faire de requêtes préparées, l'équivalent de mysql_real_truc est $pdo->quote()
http://php.net/manual/fr/pdo.quote.php
- Edité par Anonyme 21 janvier 2018 à 18:25:08
Failles SQL
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
My website : Mon serveur discord, Se demerder tout seul, Faille XSS et SQL