Comment PHPBB sécurise les requêtes SQL ?
4 messages • Page 1 sur 1
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Comment PHPBB sécurise les requêtes SQL ?
le Mar Déc 06, 2005 19:36
salut à tous 
voilà je voudrais savoir comment sont sécurisée les requetes sql sur PHPBB.
Je m'explique : je voudrais creer une fonction du meme genre que celle de PHPBB permettant de "préparer" des chaines de caractères envoyée par méthode POST par les visiteurs.
sur phpbb je vois ca :
$html_entities_match = array('#&(?!(\#[0-9]+;))#', '#<#', '#>#');
$html_entities_replace = array('&', '<', '>');
function prepare_post(blablabla)
{
$message = preg_replace($html_entities_match, $html_entities_replace, $message);
}
et après il l'utilise comme ca :
$message = prepare_message(trim($message)
et je crois que c'est tout :S
je voudrais savoir si ca, ca me suffit pour les visiteurs qui envoie des données via un formulaire , c'est sécurisé niveau injection sql ?
parce sur phpbb j'ai pas vu de mysql_real_escape_string ou de htmlentities :p
aussi, assez souvent, j'ai des truc de genre "select blabla where id=$id" (par exemple).
je voudrais savoir si ca a de l'importe de mettre des guillements simple autour de $id et si, dans ce cas, une verification avec is_numeric() suffit à sécuriser totalement ce genre de requete ?
une dernière question :
quelle est la différence entre :
if($var != NULL)
if(isset($var))
if(!empty($var))
?? sachant que je veux vérifier si des données pasé dans l'url ou par formulaire sont bien "remplie"
voilà , c'est a peu près tout.
en gros je cherche à sécuriser mes requete sql, et à avoir plus d'info sur isset, empty et !=NULL
merci d'avance !!
voilà je voudrais savoir comment sont sécurisée les requetes sql sur PHPBB.
Je m'explique : je voudrais creer une fonction du meme genre que celle de PHPBB permettant de "préparer" des chaines de caractères envoyée par méthode POST par les visiteurs.
sur phpbb je vois ca :
$html_entities_match = array('#&(?!(\#[0-9]+;))#', '#<#', '#>#');
$html_entities_replace = array('&', '<', '>');
function prepare_post(blablabla)
{
$message = preg_replace($html_entities_match, $html_entities_replace, $message);
}
et après il l'utilise comme ca :
$message = prepare_message(trim($message)
et je crois que c'est tout :S
je voudrais savoir si ca, ca me suffit pour les visiteurs qui envoie des données via un formulaire , c'est sécurisé niveau injection sql ?
parce sur phpbb j'ai pas vu de mysql_real_escape_string ou de htmlentities :p
aussi, assez souvent, j'ai des truc de genre "select blabla where id=$id" (par exemple).
je voudrais savoir si ca a de l'importe de mettre des guillements simple autour de $id et si, dans ce cas, une verification avec is_numeric() suffit à sécuriser totalement ce genre de requete ?
une dernière question :
quelle est la différence entre :
if($var != NULL)
if(isset($var))
if(!empty($var))
?? sachant que je veux vérifier si des données pasé dans l'url ou par formulaire sont bien "remplie"
voilà , c'est a peu près tout
.
en gros je cherche à sécuriser mes requete sql, et à avoir plus d'info sur isset, empty et !=NULL
merci d'avance !!
le Mar Déc 06, 2005 21:48
pour vous expliquer concretement la situation, nous sommes entrain de refaire completement notre site, et nous envisageons dans quelques mois de changer d'hebergeur.
un des "hic" est que l'hebergeuer actuel a mis à of les magic_quote contraire à notre potentiel future hebergeur (celeonet).
donc voilà ce que je pensait faire :
# Pour les requete par "id" :
j'ai une url du genre article.php?id=15
avec une requete du genre : select * from table where id=$id .
est ce que faire :
if(ctype_digit($id))
{
requete sql ...
}
C'est suffisant dans ce cas ?
# Pour une requete qui insere/modifie des chaine de caractères proposée par les visiteurs :
function prepare_message($var)
{
$html_entities_match = array('#&(?!(\#[0-9]+Wink)#', '#<#', '#>#');
$html_entities_replace = array('&', '<', '>');
$message = preg_replace($html_entities_match, $html_entities_replace, $var);
return $message;
}
function securisation($var)
{
if( !get_magic_quotes_gpc() )
{
$message = mysql_real_escape_string($message);
}
return $message;
}
et enfin :
$message = prepare_message(securisation($message));
mysql = insert into table value("$message)
pensez vous que c'est suffisant niveau sécurité ca ?
merci d'avance !
un des "hic" est que l'hebergeuer actuel a mis à of les magic_quote contraire à notre potentiel future hebergeur (celeonet).
donc voilà ce que je pensait faire :
# Pour les requete par "id" :
j'ai une url du genre article.php?id=15
avec une requete du genre : select * from table where id=$id .
est ce que faire :
if(ctype_digit($id))
{
requete sql ...
}
C'est suffisant dans ce cas ?
# Pour une requete qui insere/modifie des chaine de caractères proposée par les visiteurs :
function prepare_message($var)
{
$html_entities_match = array('#&(?!(\#[0-9]+Wink)#', '#<#', '#>#');
$html_entities_replace = array('&', '<', '>');
$message = preg_replace($html_entities_match, $html_entities_replace, $var);
return $message;
}
function securisation($var)
{
if( !get_magic_quotes_gpc() )
{
$message = mysql_real_escape_string($message);
}
return $message;
}
et enfin :
$message = prepare_message(securisation($message));
mysql = insert into table value("$message)
pensez vous que c'est suffisant niveau sécurité ca ?
merci d'avance !
4 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Optimiser le référencement d'un forum phpBB : réécriture d'URL
- Passage à l'heure d'été/hiver sur un forum phpBB
- Référencement d'un forum phpBB
- Statistiques des requêtes sur les moteurs en 2006
- AdSense Tracking : statistiques détaillées sur les clics AdSense
- Obtenir le nombre exact de requêtes effectuées sur Google
- 2,5 milliards de requêtes par jour sur Google en juillet 2009
- The Technology Behind Google
- Suggestions de requêtes dans Google News
- Yahoo France propose des requêtes avec les recherches suggérées
- Comment afficher les rêquetes effectuer sur phpbb ?
- requêtes sql
- Pb requètes SQL
- 3 requêtes SQL en une
- Réduire le nombre de requêtes sql
- Execution de requetes SQL via Ajax
- Requetes SQL : solution la plus rapide ?
- Benchmark de ses requetes SQL
- Nombre de requetes sql et hebergement ?
- Problème de liens / requêtes SQL
- Réunir 8 requetes sql en une seule
- Requetes SQL sur serveur distant
- Faire 2 requetes sql en une seule
- MySQL : optimisation des requêtes sql
- Complètement perdut dans des requètes sql !
Consultez la description détaillée des produits ou services de Google suivants : Google Trends Recherche Personnalisée, Google Site Stats, Google Suggest
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité