Sécurisation des chaines de caractères

Information

2 fonctions permettent de sécurité les variables contre les injections SQL et XSS avant export SQL.

Boustifire

27 Avril 2008

Code Source à télécharger

Information sur les mises à jour

Dernière mise à jour :

29 Aout 2019

10 541 vues

Compatibilité du code

PHP 5, PHP 7 et PHP 8

code source classé dans Sécurité

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

                               
                            /*------------------------------*/
/*
 Titre : Sécurisation des chaines de caractères                                                                     
                                                                                                                          
 Auteur           : Boustifire                                                                                            
 Date édition     : 27 Avril 2008                                                                                        
 Date mise a jour : 29 Aout 2019
                                                                                         
 Rapport de la maj:                                                                                                       
  - fonctionnement du code vérifié                                                                                  
*/
/*------------------------------*/

    // Sécurise la chaine de caractères contre les injection XSS
    function securiseChaineTxt($string) {
                 
// On convertit les caractères spéciaux en entités HTML
        $string = htmlspecialchars ($string);
                 // On sécurise la variable contre les injection SQL
        $string = $conn->real_escape_string($string);

        return $string;
    }

      // Sécurise un nombre (si on envoi 145APL, la fonction renvoie 145)
      function securiseNombre($nombre) {
          $nombre = intval ($nombre);    
      // On ne retourne dans la variable que les nombres

          return $nombre;
      }
?>

Fonctions du code - Doc officielle PHP

php.net	Description	Versions PHP
htmlspecialchars	Convertit les caractères spéciaux en entités HTML	PHP 4, 5, 7 et 8

intval	none	PHP 4, 5, 7 et 8

return	Retourne le controle du programme au module appelant	PHP 4, 5, 7 et 8

[4]

Invité
16 Aout 2012 à 17:45
Je ne pense pas qu'il faille supprimer le code, les commentaires donnent de bonnes pistes et relève les erreurs. Ce qui est très utile :)
Matt
01 Mai 2008 à 12:30
Je plussoie fortement aux dires de Emacs : Aucun interet -> code a supprimer.
Emacs
01 Mai 2008 à 09:28
Ce code n'a absolument aucun intérêt pour les raisons suivantes :

1/ On ne fait pas de htmlspecialchars() avant insertion en BDD mais en sortie. On privilégie les données brutes en BDD. Et ce n'est pas une chaine HTML qui peut être dangereuse pour MySQL.

2/ mysql_real_escape_string() c'est bien mais si je n'utilise pas MySQL ? Et en fin de compte, en retirant le htmlspecialchars(), il ne nous reste que mysql_real_escape_string(), donc ce n'est plus la peine de créer une fonction par dessus.

3/ Pour le filtrage de données, il y'a l'extension Filter depuis PHP 5.2 et je te recommande d'utiliser PDO pour l'accès à la BDD. En utilisant par exemple les requêtes préparées, c'est PHP directement qui gèrera la sécurité des données.

++
Nixi54
28 Avril 2008 à 10:21
Oo, 1 ptit snipet anti spam, je pense essentiellement a la fonction contre les injections SQL:mysql_real_escape_string

Un peu short quand même ton code mais utile.