[PHP] injection sql (MS SQL)
injection sql (MS SQL) [PHP] - PHP - Programmation
Marsh Posté le 27-08-2009 à 15:42:36
Tu oublies ta méthode et tu te renseignes sur les requêtes préparées, seul vrai moyen de sécuriser un site et ses requêtes SQL
http://blog.juliencrouzet.fr/2009/ [...] preparees/
---------------
J'ai un string dans l'array (Paris Hilton)
Marsh Posté le 27-08-2009 à 20:36:53
+1
est si ta moyen utilise PDO, si ton script est propre, tu devrai pas avoir beaucoup de modification a faire
Message édité par stealth35 le 27-08-2009 à 20:37:22
Sujets relatifs:
- Erreur de syntaxe SQL. Help !
- PHP ajout page automatique video AIDE SVP :) !!!
- Page PHP pour réactiver des comptes sur un forum
- [WAMP]code PHP non interprété
- PHP - fonction escapeshellcmd()
- [ACCESS] Indirections SQL ?
- Php et référencement
- fonction SQL qui fonctionne impec sous phpmyadmin mais pas en php !
- Problème de procédure PL/SQL pour lancer un batch sur ordonnanceur
- "aplatir" une image en PHP GD
Marsh Posté le 27-08-2009 à 14:41:20
Bonjour,
je dois corriger des failles d'injection sql dans un script php datant d'au moins 4 ans qui tape sur une base sql server
j'ai essayé d'entourer tous les params du formulaire d'une fonction securVar() ui est la suivante :
le probleme c'est j'ai l'impression qu'il y a d'autres caractères a éviter et non seulement le ' (qui est d'ailleurs échappé par un ' comme lui et non pas par un \ )
exemple : URL?camp=3 select @@version retourne une erreur sql avec la version du serveur sql
n'existe-t-il pas des fonction genre mysql_real_escape_string ?
merci de votre aide.