bonjour a tous.

Je code en ce moment un petit site comunautaire et je cherche a le proteger.

J'ai lu sur certaine forum que pour bien protéger son site il faut se méfier de toute les données venant de l'utilisteur.

Ece que l'utilisation des fonction mysql_real_escape_string() et de intval() suffit a se protéger?

Et faut-il se méfier des variable de session?

Quelqun aurait-il un bon lien traitant ce sujet???

Merci de vos reponses.

Pas de soucie au niveau des session normalement.

Par contre, sache que les Cookies et les variables POST sont éditables.

tu ce qui vient de l'utilisateur (cookies, information sur la navigateur, le système, variables GET et POST, l'IP, etc.) est modifiable
Même un <select><option></option></select> prédéfini peut être faussé, même une checkbox
Ne fait JAMAIS confiance à un utilisateur, un bot peut se faire passer pour un visiteur utilisant Firefox et Linux avec l'IP 127.0.0.1 alors qu'il est sous windows avec IE sous l'IP 90.255.78.51

et comment vérifier les informations reçues de option checkbox etc...?? deux simples htmlspecialchars et mysql_real_escape suffiront??

mysql_real_escape

Sert uniquement quand tu enregistres des informations dans la base données,

si tu veux protéger des variables de type GET et POST (ou autre)

Utilise htmlspecialchars ou htmlentities.

Ce n'est pas en fonction de la provenance des données que l'on protège, mais bien en fonction de la destination.
Une donnée destinée à intégrer une requête >> mysql_real_escape_string()
Une donnée destinée à être affichée >> htmlspecialchars()

Quant aux entiers, pas d'intval. L'application doit s'assurer que les données sont valides
Si l'on attends une adresse email, on valide que c'est bien une adresse email
Si l'on attends un entier, on valide que c'est bien un entier
Si l'on attends une adresse ip, on valide que c'est bien une adresse ip
etc
Si la validation ne passe pas, on doit stopper l'exécution du script tout simplement.

d'accord merci