Securité : htmlentities méthode $_Get RESOLU

[hx.jonathan]

Salut à tous,

J'aurais besoin d'un petit conseil niveau sécurité.
Sur mon site j'ai une galerie photo. Lorsqu'il y a plusieurs pages de photos, j'affiche des liens permettant de circuler d'une page à l'autre et ce avec la méthode $_Get que j'utilise pour envoyer l'id de l'album ainqi que le range d'images à afficher.

Y a t'il un risque niveau sécurité ?
Dois-je utiliser un htmlentities à chaque fois que j'utilise une variable provenant de _GET ?

Merci

[spout]

Pour un nombre de page de pagination, pas besoin de htmlentities(), un is_int() me semble plus approprié.
(J'espère que pour tes INSERT/UPDATE mysql tu ne te contentes pas que de htmlentities())

[Netek]

Si c'est pour utiliser dans une requete SQL, sert toi de mysql_real_escape_string()

[spout]

Si c'est pour utiliser dans une requete SQL, sert toi de mysql_real_escape_string()

Aussi oui, mais à partir du moment où on sait que le $_GET['page'] est un int, c'est presque inutile (je ne connais pas de faille d'injection SQL avec un int).

De plus, toujours pour mysql, il ne faut pas enregistrer les entités HTML dans la table. C'est à l'affichage qu'il faut faire le htmlentities().

[hx.jonathan]

Non t'inquiètes je sécurise mes INSERT et UPDATE avec mysql_real_escape_string.

Merci pour l'info concernant les is_int. Je vais faire ça.

[Netek]

En gros tu dois utiliser htmlentities sur une variable $_GET ou $_POST dans le cas ou tu compte l'afficher ( c'est vrai que pour une variable numerique suffit juste de tester si elle est bien numérique )