Jeudi 19 mars 2009
Protéger des données lors de transferts
Il va vite vous arriver de créer des formulaires en HTML sur un traitement PHP. La peur principale de celui qui commence le PHP c'est de tomber sur un hacker qui va tout faire pour trouver de quoi vous embêter en envoyant des requêtes SQL (dans la mesure du possible) vicieuses ou je ne sais quoi d'autre.Une des nombreuses manières de sécuriser un champ lors de l'envoi d'un formulaire, par exemple un formulaire d'inscription sur votre site Internet (donc écriture d'informations dans une base de données SQL a priori) est de rajouter des slashes (/) automatiquement grâce à la fonction addslashes();.
Vérifiez avant tout auprès de votre hébergeur que la directive PHP magic_quotes_gpc est à off. En effet si elle est sur on alors toutes les données envoyées par méthode POST, GET ou COOKIE sont déjà protégées de la sorte, donc cette astuce ne vous sert pas directement.
Comment utiliser cette fonction ?
C'est simple il vous suffit de l'utiliser sur vos variables d'envoi, exemple pour un formulaire utilisant la méthode POST :
<?php
$pseudo = addslashes($_POST['pseudo']);
$age = addslashes($_POST['age']);
//etc...
//puis script d'enregistrement sur une base de données réutilisant les nouvelles variables $pseudo etc...
?>
$pseudo = addslashes($_POST['pseudo']);
$age = addslashes($_POST['age']);
//etc...
//puis script d'enregistrement sur une base de données réutilisant les nouvelles variables $pseudo etc...
?>
Lorsque vous récupèrerez les données de la base de données il vous faudra alors tenir compte de cette sécurité en utilisant cette fois la fonction inverse afin de retirer les slashes, c'est à dire stripslashes();.
Il s'agira alors pour vous de récupérer les données de votre base de données dans des variables, et d'utiliser cette fonction sur vos variables :
<?php
$pseudo = stripslashes($pseudo_bdd);
$age = stripslashes($age_bdd);
//etc...
?>
$pseudo = stripslashes($pseudo_bdd);
$age = stripslashes($age_bdd);
//etc...
?>
Cette astuce n'a pas la prétention de vous protéger à 100% puisqu'il existe bien d'autres éléments à prendre en compte lors de l'inscription de données dans une base de données.
En effet il vous faudra vérifier la syntaxe des email, le contenu des champs de manière plus précise afin d'éviter un autre fléau du net, le spam !
N'hésitez pas à poser vos questions ou relever tout élément de mes dires qui semble suspect. Je vous invite aussi à visite le manuel PHP en suivant les liens donnés sur cet article.
Merci de votre lecture.
Par Geoffrey
-
Publié dans : Astuces PHP/SQL
Ecrire un commentaire - Voir les commentaires - Recommander
Ecrire un commentaire - Voir les commentaires - Recommander
Présentation
- : White Pearls Blog-site
-
- : Internet graphisme vente entreprise conception Hi Tech
- : Blog mettant en avant le projet White Pearls et son équipe de développement. Entreprise spécialisée dans la création de graphismes et sites Internet.
- Recommander ce blog
- Retour à la page d'accueil
Recherche
Catégories
- Annonces générales (12)
- Site Internet (1)
- Webdesign et graphisme (4)
- Astuces Internet (1)
- Astuces HTML/CSS (2)
- Astuces PHP/SQL (1)
- Actualités (2)
- Astuces Graphisme (1)
Articles récents
- Version 2 White Pearls en ligne
- Nouveau blog !
- Transfert 000webhost terminé, V.2 en cours...
- Photoshop - Ajout de brushes et sources
- Host Image Files - Upload de fichiers
- Allo-hébergement contre 000webhost
- Refonte du site White Pearls
- Sécuriser les données envoyées par formulaire
- Tranfert terminé - Site accessible
- Transfert en cours - DNS en modification
Calendrier
| Novembre 2009 | ||||||||||
| L | M | M | J | V | S | D | ||||
| 1 | ||||||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 | ||||
| 9 | 10 | 11 | 12 | 13 | 14 | 15 | ||||
| 16 | 17 | 18 | 19 | 20 | 21 | 22 | ||||
| 23 | 24 | 25 | 26 | 27 | 28 | 29 | ||||
| 30 | ||||||||||
|
||||||||||
Profil
overblog
