Les SQL Injection sont parmi les failles les plus répandus et dangereux en PHP.
Ce tutorial va expliquer clairement le concept de SQL Injection et comment les éviter, une fois pour toutes.

Il existe deux types d'injection SQL:

• L'injection dans les variables qui contiennent des chaînes.
• L'injection dans les variables numériques.

Ce sont deux types très différents et à éviter, il agira différemment pour chacun de ces types.

1
2

$ pseudo = $ _GET [ 'pseudo'];
$ requete = mysql_query ( "SELECT age FROM membres WHERE pseudo = '$ pseudo'");

Ce script est une grande vulnérabilité par injection SQL. Il suffit qu'une personne malveillante en mettant en place le nom d'utilisateur dans l'URL d'une requête comme ceci :

1

'Password UNION SELECT FROM membres WHERE id = 1

Ceci est juste une demonstration, par exemple le mot de passe le membre ayant l'ID 1.

1

NULL, \ x00, \ n, \ r, \, ', "et \ X1A

Comme vous l'avez remarqué dans l'injection précédente, le pirate utilise la citation (pour fermer la 'Around $ nick): si elle est empêchée de le faire, le pirate iras voir ailleurs. Cela signifie que si l'on applique un mysql_real_escape_string () pour le nom de variable comme ça ...

1
2

$ pseudo = mysql_real_escape_string ($ _GET [ 'pseudo']);
$ requete = mysql_query ( "SELECT age FROM membres WHERE pseudo = '$ pseudo'");

L'application est entièrement sécurisé.

1

'Password UNION SELECT FROM membres WHERE id = 1

Eh bien, si nous appliquons mysql_real_escape_string () à la variable $ nom utilisé dans la requête est ce qui va de l'injection :

1

\ 'Union de passe Sélectionnez membres WHERE id = 1

Cela signifie que nous ne viennent pas même en dehors des quotes autour de $ nick dans la requête car la \ a été ajoutée. Il existe une autre fonction quelque peu semblable à mysql_real_escape_string () est addslashes (), pourquoi ne pas avoir utilisé ? Eh bien récemment, une faille de sécurité a été découvert à ce sujet si il est utilisé sur une installation de PHP 4.3.9 avec magic_quotes_gpc est activé.

Ce type d'injection est moins connue que la précédente, ce qui en fait plus fréquentes, et il commence comme tout à l'heure avec un exemple. Cette fois, c'est affichage de l'âge d'un membre en fonction de son id, et en le faisant passer par un formulaire ($ _POST) à changer:

$ id = $ _POST [ 'id'];
$ requete = mysql_query ( "SELECT age FROM membres WHERE id = $ id");

1

1 UNION DE passe Sélectionnez membres WHERE id = 1

Cette injection fait exactement la même que la précédente, sauf qu'ici, pour l'éviter, il y a deux solutions:

• Changer le contenu de la variable si elle contient uniquement des chiffres
• Vérifiez si la variable contient en réalité un certain nombre avant de l'utiliser dans une requête.

Méthode 1:

Nous allons utiliser une fonction intval () Cette fonction retourne quel que soit le contenu d'une variable sa valeur numérique. Par exemple:

1
2

e10 variable = '1 '; / / $ variable vaut '1 e10'
valeur_numerique $ = intval ($ variable); / / $ vaut valeur_numerique 1

1
2
3

$ id = intval ($ _POST [ 'id']);
$ requete = mysql_query ( "SELECT age FROM membres WHERE id = $ id");
)

$ id = $ _POST [ 'id'];
if (is_numeric ($ id))
(
$ requete = mysql_query ( "SELECT age FROM membres WHERE id = $ id");
)
autre
(
echo "Essayer de me hack ?";

Quelle est la meilleure, en fonction entre intval () et is_numeric () ?

Les deux sont tout aussi efficaces, mais je conseil inval () car avec la fonction is_numeric () écrire plus de code, et si la variable ne contient pas seulement des chiffres, la demande est annulée (en principe, mais bien sûr vous pouvez exécuter la même requête en choisissant une Valeur par défaut de la variable utilisée). Well that's it!

Vous savez tout pour sécuriser vos applications.

Si vous appliquez ces méthodes, il y a absolument aucun risque d'avoir un type de faille d'injection SQL sur son site web (ou PHP).