PHP+SQL Sécurité ??

Résolu/Fermé

accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011 - 21 janv. 2010 à 13:47
accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011 - 21 janv. 2010 à 23:57

Bonjour à tous , j'aurais besoin de vos talents de flics :D

J'ai realisé deux pages, la premiere pour une catégorie de video, la deuxieme pour la liste des videos à afficher:

Et je voulais savoir si cette manipulation est une réel faille de securité et si oui, quelles sont les choses à ajouter pour securiser mon code :O .

Voici tout simplement ce qui me fais peur:

 <div id="liste_des_cours">
<a href="c_video.php?c=<?php echo ($donnees['categorie']);?>">
<img src="bouton_voir_le_cour" alt="voir_les_cours" /> </a>

la variable depend alors d'une donnée de ma base SQL ,

Ensuite la page suivante utilisera cette variable pour afficher les videos propres à une catégorie:

 <?php  if (isset($_GET["c"])) $categorie=($_GET["c"]);
 else $categorie = "";

 if(!file_exists($categorie.'.php.')) 
{
 (etape de connexion sql...) 
 $reponse = mysql_query("SELECT* FROM video WHERE id_categorie='$categorie'");
  blablablabla....

A voir également:

PHP+SQL Sécurité ??
Mode securite - Guide
Url masquée pour votre sécurité - Forum Programmation
Easy php - Télécharger - Divers Web & Internet
Retour a la ligne php ✓ - Forum PHP
Blob sql ✓ - Forum Webmastering

4 réponses

Réponse 1 / 4

resalut Messages postés 784 Date d'inscription vendredi 26 juin 2009 Statut Membre Dernière intervention 21 janvier 2010 55
21 janv. 2010 à 13:49

salut,
deja tu met tes variables tel quel sans les traiter donc oui cela constitue une jolie faille de securité corrige ca avec :
$categorie=htmlentities(addslashes($_GET["c"]));

Réponse 2 / 4

accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011
21 janv. 2010 à 14:14

Je te remercie Resalut ^^ ,apres une petit recherche de ton code sur google, je me suis dépeché de le mettre sur ma page :D .

Sinon juste avec cette ligne, mon code est réelement fiable ou dois-je en rajouter ?
(enfin pour bloquer au moins la plupart des petits débutants qui cherchent une victime .. :/ ).

Réponse 3 / 4

avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
21 janv. 2010 à 17:30

Il y a une faille mais qui ne devrait pas poser de problème de sécurité : on peut faire une injection SQL si les magic_quotes ne sotn pas activé ; il vaut mieux les désactiver et sécuriser ton script.
Penses à utiliser mysql_real_escape_string

Réponse 4 / 4

accroalavie Messages postés 7 Date d'inscription mardi 1 décembre 2009 Statut Membre Dernière intervention 25 juillet 2011
21 janv. 2010 à 23:57

Oui j'ai pris quelque cours de hack .... (on combat le mal par le mal ..) .

Apparement les magic_quotes sont activé car toute mes tentatives ont échouées ouf .

Enfin tu as raison je vais les désactiver et sécuriser mon code de ce coté ,car si je change d'hebergeur un jour ..... aie aie aie lol

Bon, il me reste à marquer ce sujet comme résolu.

En tout cas je vous remercie pour vos reponses, ça m'a permis de savoir ou chercher :D .

Discussions similaires

Sécurité de l'URL

La nouvelle messagerie du Boncoin....

ALERT en php

comment lire un message masqué????

[PL/SQL] le rôle exact du (+) dans une clause

Discussions similaires

Newsletters