PHP

[PHP] injection sql (MS SQL)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [PHP] injection sql (MS SQL)

naeh

Bonjour,

je dois corriger des failles d'injection sql dans un script php datant d'au moins 4 ans qui tape sur une base sql server

j'ai essayé d'entourer tous les params du formulaire d'une fonction securVar() ui est la suivante :

Code :

function secureVar($var) {
if( get_magic_quotes_gpc() ) {
$var = stripslashes( strip_tags( $var ));
}
$var = str_replace("''", "'", $var);
return str_replace("'", "''", $var);
}

le probleme c'est j'ai l'impression qu'il y a d'autres caractères a éviter et non seulement le ' (qui est d'ailleurs échappé par un ' comme lui et non pas par un \ )

exemple : URL?camp=3 select @@version retourne une erreur sql avec la version du serveur sql

n'existe-t-il pas des fonction genre mysql_real_escape_string ?

merci de votre aide.

Publicité

Harkonnen

Modérateur
Un modo pour les bannir tous

Tu oublies ta méthode et tu te renseignes sur les requêtes préparées, seul vrai moyen de sécuriser un site et ses requêtes SQL

http://blog.juliencrouzet.fr/2009/ [...] preparees/

---------------
J'ai un string dans l'array (Paris Hilton)

stealth35

est si ta moyen utilise PDO, si ton script est propre, tu devrai pas avoir beaucoup de modification a faire

Message édité par stealth35 le 27-08-2009 à 20:37:22

FORUM HardWare.fr

Programmation

PHP

[PHP] injection sql (MS SQL)

Sujets relatifs
Erreur de syntaxe SQL. Help !	PHP ajout page automatique video AIDE SVP :) !!!
Page PHP pour réactiver des comptes sur un forum	[WAMP]code PHP non interprété
PHP - fonction escapeshellcmd()	[ACCESS] Indirections SQL ?
Php et référencement	fonction SQL qui fonctionne impec sous phpmyadmin mais pas en php !
Problème de procédure PL/SQL pour lancer un batch sur ordonnanceur	"aplatir" une image en PHP GD
Plus de sujets relatifs à : [PHP] injection sql (MS SQL)

Page générée en 0.047 secondes