Deux fonction sont particulièrement très utiles, il existe d'autre mais les plus utiles sont ces deux.
Donc nous ne verrons que ces deux.
Protection contre les codes HTML:
Si vous utilisez un formulaire et que vous récupérez ce que le visiteur a tapé et si le visiteur poste
dans son message du code HTML, celui-ci sera enregistré dans la base de données. Lorsque que quelqu'un
affichera son message, le code HTML sera lu ! et exécuté.
Si le visiteur a envoyé une balise inoffensive du style <span>, vous ne risquez rien. Mais il pourrait
très bien insérer du code javascript qui affiche une boîte de dialogue (très dangereuse) ou même qui pourrait
scanner votre PC et récupérer des informations confidentielles !
Pour régler ce problème, on utilisera une fonction PHP : htmlspecialchars. On l'appliquera à la variable qui
récupère ce que le visiteur a saisie( par exemple: $_POST['pseudo'] et $_POST['message'] ):
Code : PHP
$message = htmlspecialchars ($_POST['message']);
$pseudo = htmlspecialchars ($_POST['pseudo']);
Protection contre les injections SQL:
Il faut aussi se protéger des injections sql, c'est-à-dire des visiteurs qui pourraient essayer d'introduire du
code SQL dans le message. C'est très dangereux.
Pour éviter ça, on utilisera la fonction: mysql_real_escape_string() . Le code parfaitement sécurisé à utiliser
sera donc :
Code: PHP
$message = mysql_real_escape_string(htmlspecialchars($_POST['message']));
$pseudo = mysql_real_escape_string(htmlspecialchars($_POST['pseudo']));
Retourner au haut de la page..
|
...Précèdent...
et 
Annuaire généraliste
Glaneur.fr
royaume