Posted 9 Feb 2017 · Report post Bonjour,Je constate dans des logs que des utilisateurs envoient des requêtes étranges.www.monsite.fr/achat/produit_details.php&id=1+AND+1=2+UNION+SELECT+0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465--"UNION", "SELECT" et les "--" je sais que c'est pour neutraliser les requetes ou inserer des éléments ??Y a t il une sécurité pour cela ? Et où est elle (quel fichier ?) ? MerciPatrice Share this post : post Share on other sites
Posted 9 Feb 2017 · Report post Bonjour,Sur PEEL lorsque l'on utilise une variable dans une requête SQL, on utilise toujours une fonction sur la variable qui protège la requête. Les fonctions utilisées ne sont pas les mêmes selon le contexte, et en l’occurrence pour un id (valeur numérique) on utilise la fonction intval() sur la variable pour s'assurer que c'est bien un entier numérique qui est transmis. Pour une chaine de caractère on peut utiliser real_escape_string, nohtml_real_escape_string ou word_real_escape_string pour protéger la requête. Share this post : post Share on other sites
