Salut je cherche a sécuriser mon site php.
 
J'interoge ma table article (par exemple) avec un requette sql
 

 
je recupaire $id par :

 
le probleme est que si un mec modifie l'url exemple : http://www.monsite.com/index.php?i [...] 7987987987
et que l'id 5665465654654897987987987 n'existe pas dans ma table article je v avoir une belle erreur du style :  
 

 
Voila et je voudrais ne pas afficher ce message mais afficher par exemple "page non dispo" et meme en modifien mon code par :

Le message est toujours là !
 
J'ai le l'article sur la sécu de Nexen mais j'ai pas vraiment compris.
 
Voila.
 
 

Tu peux utiliser plusieurs méthodes pour ca, dont :
 

@ est ton ami

 
 
??  

 
Ben tu testes ta variable AVANT de lancer la requête. Je vois pas où est le problème.  

Pas pas moyen de bosser plutôt avec des variables en POST plutôt qu'en GET
 
Parceque GET + Sécurité, je demande à voir...
 
Déjà en POST on est jamais certain que le gars bidouille pas les entêtes HTTP de son navigateur, mais alors en GET...

Pour info, avec ce genre de conneries, j'ai un pote qui s'est acheté 5 XBox et 5 PS2 chez alapage pour la modique somme de 5 ?.

 
ca masque les message d'erreur.

Ben quand tu passes comme un crétin les informations d'un formulaire en querystring, y'a rien de plus simple que d'éditer cette dernière en foutant ce que tu veux. Sur certains sites codés comme des merdes, tu peux ainsi changer le montant de la transaction bancaire au moment du paiement par carte bleue.
 
Ainsi un pote a juste viré les deux derniers chiffres du montant de sa commande et a commandé pour 5 ? une facture de plus de 500 ?.
 
La transaction bancaire étant contractuelle, le propriétaire du site web n'a aucun recours face à cette pratique.
 
Alors quand je vois des sites passer en querystring des infos importantes, je ne peux m'empêcher de mouiller mon jean.

D'accord à 100% avec MagicBuzz !
 
Le truc à avoir en tête quand on cherche sécuriser un site, c'est de ne faire aucune confiance à TOUT ce qui vient du client. Que se soit en GET, en POST ou même par Cookie.
 
Une des solution que j'essaye de mettre en place pour un site sur lequel je bosse se résume ainsi.
 
D'abord, utiliser les sessions.
 
Toute requête HTTP n'ayant pas un ID de session valide est renvoyé vers la page d'accueil.
 
Ensuite, toutes les infos reçues du client sont vérifiées.
 
1- Suivant leur type. Par exemple, si j'attend une date, je vérifie qu'elle est valide, et éventuellement dans une plage acceptable.
 
2- Pour les chaînes, tous les caractères dangeureux sont "échapés".
 
3- Si j'attend un id, comme dans ton exemple, il vient sans doute d'une liste que je lui ai proposé. Cette liste est conservé dans un "contexte" en session. L'id reçu est alors comparé à ceux envoyés, et s'il ne fait pas partie de la liste, ben la sanction dépend de mon humeur
 

 
et ils marchent toujours comme ça ? (:D)

Certains son corrigés, (notamment celui du coup des consoles à 5 ? )
 
Mais d'autres doivent certainement toujours avoir ce genre de trucs.

 
Ouep ça je sais bien que techniquement y'a pas de prob, ce qui m'étonne c'est juste qu'il y ait aucun contrôle comptable derrière quoi  

ben quand on est assez goret pour faire passer un montant de facture en querystring, on est généralement assez goret pour rien tester à l'arrivée
 
c comme quand je fais un bug... quitte à planter, autant faire un kernel panic, sinon c'est pas la peine