Donc j'ai un script pour entrer des commentaires ! Ca se présente un peu comme ce forum (normal) avec des champs de texte où l'utilisateur entre ce qu'il veut mettre.
 
Ensuite la requête (simplifiée) :
INSERT INTO commentaires VALUES ('', NOW('', '$comment'
 
Le problème est dans la variable $comment (qui provient d'un textarea) car si l'utilisateur met
tu vas te faire hacker'; INSERT INTO autretable VALUES ('tu t fait hacker !'
eh bien je me suis fait hacker !
 
Donc j'ai utilisé le htmlspecialchars($comment, ENT_QUOTES) qui m'a permis de transformer les ' en leur code HTML. Avez-vous d'autres conseils SVP ?

Up, ça m'intéresse aussi, j'ai un ptit systeme de news mais il est pas très folichon niveau sécurité.
 
Sinon fais bien attention de mettre le htmlspecialchars également en sortie, lorsque le serveur lira les infos de la table, car si par exemple un gugus s'amuse à mettre
 
<script>
 
while() {
 
        window.open('trucbazar.com','','';
 
}
 
</script>
 
ça le fait pas trop. Enfin je dis ça parce que sur mon système de news, c'est pas un problème, les utilisateurs vont pas s'amuser à ça, mais avec un système de commentaires...

je suis assez étonné que qqch de ce style :
INSERT INTO commentaires VALUES ('', NOW('', 'INSERT INTO autretable VALUES ('tu t fait hacker !''
puisse marcher... tu as testé ?

z0rglub a écrit a écrit : je suis assez étonné que qqch de ce style : INSERT INTO commentaires VALUES ('', NOW('', 'INSERT INTO autretable VALUES ('tu t fait hacker !'' puisse marcher... tu as testé ?

 
C'est parce que je me suis trompé, j'ai mis ' en trop à la fin. Ce que le hacker tape devrait donc donner :
INSERT INTO commentaires VALUES ('', NOW('', 'tu vas te faire hacker'; INSERT INTO autretable VALUES ('tu t fait hacker !'
Et là ça fonctionne et ça peut devenir dangereux si autretable c'est une avec des passwords et des logins.

HORNY-GRANDCORNU a écrit a écrit : <script> while() {           window.open('trucbazar.com','&# 039;,'';   }   </script>

 
Pour ça j'ai pompé le code de PHPNuke !! Toutes mes pages PHP commence par vérifier qu'il n'y a pas de <script> ou de parenthèses dans l'URL.

ba suffit de faire un preg_replace qui change < en < et > en >

Dost67 a écrit a écrit : INSERT INTO commentaires VALUES ('', NOW('', '$comment'

Même sans être hacké, faut éviter ca. Si l'utilisateur met des caractères un peu particulier comme ' ou autre, ca va faire planter ta requête.
Il faut protéger la chaîne :
"INSERT INTO commentaires VALUES ('', NOW('', '" . addslashes($comment) . "'"

Bon j'ai fait :

Avec ça j'ai pas encore réussi à m'auto-hacker.

Oui enfin un htmlspecialchars ça fait tout en même temps.

Il sert à quoi le htmlspecialchars  
Normalement, cette fonction sert uniquement à générer une chaîne de caractère HTML.