| Index de l'article |
|---|
| Protection contre le SQL Injection |
| Présentation du problème |
| Les variables qui contiennent des chaînes |
| La sécurité |
| Explication |
| Les variables numériques |
| Toutes les pages |
Page 4 sur 6
02.La sécurité
Pour sécuriser ce type d'injection est simple. Vous utilisez la fonction mysql_real_escape_string ().
What is ? Cette fonction ajoute le caractère "\" pour les caractères suivants :
1 |
NULL, \ x00, \ n, \ r, \, ', "et \ X1A
|
Comme vous l'avez remarqué dans l'injection précédente, le pirate utilise la citation (pour fermer la 'Around $ nick): si elle est empêchée de le faire, le pirate iras voir ailleurs. Cela signifie que si l'on applique un mysql_real_escape_string () pour le nom de variable comme ça ...
1 |
$ pseudo = mysql_real_escape_string ($ _GET [ 'pseudo']); |
L'application est entièrement sécurisé.
| Suivant > |
|---|
