Bonjour,
 
J'ai reçu par mail le message d'un hacker m'indiquant que le site présentait une vulnérabilité SQL. Je voulais savoir si cet appel à la base de données était potentiellement vulnérable :
 
$host = "aaaaa";
$user = "bbbbb";
$pass = "ccccc";
$bdd = "ddddd";
mysql_connect($host,$user,$pass)
   or die("Impossible de se connecter" );
@mysql_select_db("$bdd" )
   or die("Impossible de se connecter" );
 
Je précise que ce code figure dans une page php incluse dans chaque page du site nécessitant l'appel à la base de données.
 
D'avance merci...

ce n'est pas à la connection qu'il y a un problème, mais plutôt lors des requêtes  
est ce que parfois tu utilises des données qui viennent de $_POST ou $_GET dans une requête ?

Oui, j'ai plusieurs formulaires (newsletter, jeux) et des pages du type "actu.php?id=17043" ou encore "artistes.php?search=&page=15"... Si ce n'est pas à la connection que ça pose problème, dois-je fouiller du côté des injections et autres failles liées aux formulaires (mysql_real_escape_string, htmlentities) ?

oui , c'est de ce côté que tu devrais regarder

mysql_real_escape_string , ou les requetes préparées

 
Français : conneXion
Anglais : conneCTion
 
</capelo>
 
Sinon a partir du moment où une variable est potentiellement modifiable par l'utilisateur, càd post/get/cookie/server (certaines entrées), faut obligatoirement la vérifier.

Avec PHP, il faut toujours faire attention à la sécurité, surtout en cas de formulaires ou de traitements de variables serveur.
 
A mon avis, un petit tour ici : http://php.net/manual/fr/security.database.php ne pourra pas faire de mal !