Bonjour a tous,
 
J’ai un petit problème, j'aimerais pouvoir interdire des saisies de requêtes sql dans un champ input de type texte ou textearea.
 
Comment puis-je procéder ?
 
Cordialement,
Pgaz

remplacer toutes les occurences de Select, update, insert, grant ... par autre chose avec les expressions régulières

+1,
j'ai fait ça sur mon site pour remplacer les "<?" et "?>" par des caractères neutre de manière à interdire la saisie de code PHP dans les news.
avec str_replace c'est "finger in the nose"

ben c'est actuellement ce que j'ai fait, je pensais qu'il y avait quelquechose de ce type déjà implémenté, et ainsi juste taper la commande ...
Il faut donc rechercher tous les mots important... y a pas d'autre solution?
...

Si c'est pour empecher les injections SQL il suffit de faire un addslashes() de ce que tu récupère.

oui, je pense que c'est ca que je cherche...*
 
merci!!!

le truc qui sert à rien    

Tout les FAI ne bloque pas ça, tu trouve sur des bouquin style "Hack-Adémy" des script tout fait pour mettre dans un truc de news sur un site...  
Si le FAI ne bloque pas les balises PHP, le script récupère les propriété de connexion à ta BDD et te scratch tes tables...
J'ai fait des test et ça ne marchait heureusement pas sur mon site, mais je préfère 2 petite ligne avec des str_replace que de prendre le risque de me faire niquer ma base...
 
Après ça ne regarde que moi si je fais de la sécurité outre mesure, c'est peut etre une déformation professionnelle...

d'un autre côté, si tu fais pas un eval de ce que tu récupère, les <? ?> ne doivent pas être super dangereuse

ben ouais c'est pour ca que je dit ca...

Dans la base faut laisser les caractères potentiellement dangereux comme < >  
Par contre à l'affichage (pour éviter les XSS) faut faire un htmlspecialchars sur ce que tu récupères de la base et que tu veux afficher.

 
ben si c'est une identification login mot de passe, je pense que ca peut l'être non ?
 

ben je laisse les caractères "<" et ">" vu que je ne filtre que les chaines "<?" et "?>" pour les remplacer par un truc du genre "|°-_-°|" ce qui me permet de savoir que qqun a essayé...
 
Par contre je ne bride aucun autre caractère donc le "<b>" ou "<img src....>" ou encore "<a href...." ce qui laisse toute les libertés nécessaires pour les gens qui saisissent les news.
 
Le remplacement, je le fait, à l'enregistrement, pas à l'affichage, c'est bien "|°-_-°|" qui est écrit dans la base... c'est peut etre pas le mieux mais tant pis...

C'est pas moi qui est lu l'article, un pote qui fait le site avec moi, dans l'idée, il faisit un include d'un fichier PHP présent je sais pas trop ou qui faisait (ou essayait de faire) pas mal de chose avec la base qu'il trouvait..
 
Je ne tiens pas à courir le risque.

bon et pour que les commandes ne soient pas prise en compte, il faut que magic_quotes soit a on ou a off ?
 
moi actuellement, j'utilise des addslash et htmlentities avec magic_quotes_gpc = Off et magic_quotes_runtime = Off
est-ce que ca sert a quelque chose ?

j'ai résolu le pb , au lieu de mettre un echo(), je fais un print htmlentities (,ENT_NOQUOTES)
 
et ca marche bien