Fonctions de sécurisation des chaines de caracteres

...Avertissement :


Cette fonction est utilisée dans ce code source:
mysql_real_escape_string()   

Cette extension était obsolète en PHP 5.5.0, et a été supprimée en PHP 7.0.0. À la place, vous pouvez utiliser l'extension MySQLi ou l'extension PDO_MySQL. Voir aussi MySQL : choisir une API du guide et ces entrées de la FAQ pour plus d'informations. Alternatives à cette fonction :
mysqli_connect()
PDO::__construct()
    27 Avril 2008  

      Fonctions de sécurisation des chaines de caracteres

Ces de fonctions permettent de sécurité les variables contre les injections SQL et XSS.
Boustifire 27 Avril 2008
# Catégorie Compatibilité Nombre de vues Site Archive
   Securite PHP 4, PHP 5 7 511  

       Code Source PHP


 
 01    
 02    
 03    
 04    
 05    
 06    
 07    
 08    
 09    
 10    
 11    
 12    
 13    
 14    
 15    
 16    
 17    
 18    
 19    
 20    
 21    
 22    
 23    
 24    
 25    
 26    
 27    
 28    
 29    
 30    
                               
<?php
/**************************************************************************************/
/*
     Titre  : Fonctions de sécurisation des chaines de caracteres                                                        
                                                                                                                          
     URL    :  
     https://phpsources.net/code/php/securite/378_fonctions-de-securisation-des-chaines-de-caracteres
     Auteur         : Boustifire                                                                                          
     Date edition   : 27 Avril 2008                                                                                       
*/
/**************************************************************************************/
//Sécurisé la chaine de caractères contre les injection XSS
function securiseChaineTxt($string)
{   
             //On securise chaques balise HTML
    $string htmlspecialchars ($string);
             //On securise la variable contre les injection SQL
    $string mysql_real_escape_string($string);
    return $string;
}
//Sécurise un nombre(si on envoi 145APL par exemple, la fonction revoie 145)
function securiseNombre($nombre)
{
    $nombre intval ($nombre);    
//On ne recupere dans la variable que les nombres
    return $nombre;
}
?>

...  Manuel PHP - Fonctions du code source

   php.net  Description Versions PHP OUTIL
   htmlspecialchars Convertit les caractères spéciaux en entités HTML PHP 4, PHP 5, PHP 7
   intval PHP 4, PHP 5, PHP 7
   mysql_real_escape_string Protège les caractères spéciaux d'une commande SQL - (PHP 4 >= 4.3.0, PHP 5, PECL mysql:1.0)   !  OBSOLÈTE en PHP 5.5.0, et ont été supprimées en PHP 7.0.0


  • L'ajout de commentaire est libre et ne demande pas d'inscription,
  •   invité

nous vous encourageons à contribuer à l'utilisation de PHP en ajoutant vos remarques.

[4]

  • ...

    Nixi54

    28 Avril 2008 à 10:21

    Oo, 1 ptit snipet anti spam, je pense essentiellement a la fonction contre les injections SQL:mysql_real_escape_string

    Un peu short quand même ton code mais utile.

  • ...

    Emacs

    01 Mai 2008 à 09:28

    Ce code n'a absolument aucun intérêt pour les raisons suivantes :

    1/ On ne fait pas de htmlspecialchars() avant insertion en BDD mais en sortie. On privilégie les données brutes en BDD. Et ce n'est pas une chaine HTML qui peut être dangereuse pour MySQL.

    2/ mysql_real_escape_string() c'est bien mais si je n'utilise pas MySQL ? Et en fin de compte, en retirant le htmlspecialchars(), il ne nous reste que mysql_real_escape_string(), donc ce n'est plus la peine de créer une fonction par dessus.

    3/ Pour le filtrage de données, il y'a l'extension Filter depuis PHP 5.2 et je te recommande d'utiliser PDO pour l'accès à la BDD. En utilisant par exemple les requêtes préparées, c'est PHP directement qui gèrera la sécurité des données.

    ++

  • ...

    Matt

    01 Mai 2008 à 12:30

    Je plussoie fortement aux dires de Emacs : Aucun interet -> code a supprimer.

  • ...

    Invité

    16 Aout 2012 à 17:45

    Je ne pense pas qu'il faille supprimer le code, les commentaires donnent de bonnes pistes et relève les erreurs. Ce qui est très utile :)