Prévenir les injections de codes avec PHP et MySql
Par: Anonyme - 0 commentaire
Il existe de nombreux articles sur internet décrivant la façon d'authentifier un visiteur sur votre site web à l'aide de PHP et MySql. Plusieurs de ces articles ne traitent malheureusement pas de l'aspect sécurité afin de développer vos applications de manière plus sécuritaire. Les tentatives d'injections sont possiblement les techniques les plus fréquemment utilisé afin de compromettre les données d'un serveur MySql.
Tout d'abord, spécifions qu'il existe plusieurs méthodes afin de rendre la vie plus difficile aux personnes mal intentionnés. Il serait par contre injuste de mentionner qu'une méthode est 100% fiable. Mais allons-y, voyons ce qu'il est possible de faire.
Il existe une fonction prête à protéger vos données qui se nomme tout simplement mysql_real_escape_string. Cette fonction protège la commande SQL d'une éventuelle injection de code sur une variable. Utilisez tout simplement comme décris ci-dessous:
<?php
$mystring = mysql_connect('host', 'utilisateur', 'mot-de-passe') OR die(mysql_error());
$query = sprintf("SELECT * FROM tbl_mes_utilisateurs WHERE mon_utilisateur='%s' AND mot_de_passe='%s'",
mysql_real_escape_string($mon_utilisateur),
mysql_real_escape_string($mot_de_passe));
?>