Sécurisation des chaines de caractères

  code source classé dans  Sécurité  Copier  

01       02       03       04       05       06       07       08       09       10       11       12       13       14       15       16       17       18       19       20       21       22       23       24       25       26       27       28       29       30       31       32       33       34      <?php /*---------------------------------------------------------------*/ /*     Titre : Sécurisation des chaines de caractères                                                                                                                                                                                                      URL   : https://phpsources.net/code_s.php?id=378     Auteur           : Boustifire                                                                                              Date édition     : 27 Avril 2008                                                                                           Date mise à jour : 29 Aout 2019                                                                                           Rapport de la maj:                                                                                                         - fonctionnement du code vérifié                                                                                     */ /*---------------------------------------------------------------*/     // Sécurise la chaine de caractères contre les injection XSS     function securiseChaineTxt($string) {                  // On convertit les caractères spéciaux en entités HTML         $string = htmlspecialchars ($string);                  // On sécurise la variable contre les injection SQL         $string = $conn->real_escape_string($string);         return $string;     }       // Sécurise un nombre (si on envoi 145APL, la fonction renvoie 145)       function securiseNombre($nombre) {           $nombre = intval ($nombre);           // On ne retourne dans la variable que les nombres           return $nombre;       } ?>

          Fonctions du code - Doc officielle PHP

php.net	Description	Versions PHP	OUTIL
htmlspecialchars	Convertit les caractères spéciaux en entités HTML	PHP 4, PHP 5, PHP 7, PHP 8
intval	Retourne la valeur numérique entière équivalente d'une variable	PHP 4, PHP 5, PHP 7, PHP 8
return	Retourne le controle du programme au module appelant.	PHP 4, PHP 5, PHP 7, PHP 8

  Poster  

   Dites merci aux auteurs pour leurs travail, ça ne coûte rien et ça fait toujours plaisir

[4]

• 

  Invité

  16 Aout 2012 à 17:45

  Je ne pense pas qu'il faille supprimer le code, les commentaires donnent de bonnes pistes et relève les erreurs. Ce qui est très utile :)

• 

  Matt

  01 Mai 2008 à 12:30

  Je plussoie fortement aux dires de Emacs : Aucun interet -> code a supprimer.

• 

  Emacs

  01 Mai 2008 à 09:28

  Ce code n'a absolument aucun intérêt pour les raisons suivantes :
  
  1/ On ne fait pas de htmlspecialchars() avant insertion en BDD mais en sortie. On privilégie les données brutes en BDD. Et ce n'est pas une chaine HTML qui peut être dangereuse pour MySQL.
  
  2/ mysql_real_escape_string() c'est bien mais si je n'utilise pas MySQL ? Et en fin de compte, en retirant le htmlspecialchars(), il ne nous reste que mysql_real_escape_string(), donc ce n'est plus la peine de créer une fonction par dessus.
  
  3/ Pour le filtrage de données, il y'a l'extension Filter depuis PHP 5.2 et je te recommande d'utiliser PDO pour l'accès à la BDD. En utilisant par exemple les requêtes préparées, c'est PHP directement qui gèrera la sécurité des données.
  
  ++

• 

  Nixi54

  28 Avril 2008 à 10:21

  Oo, 1 ptit snipet anti spam, je pense essentiellement a la fonction contre les injections SQL:mysql_real_escape_string
  
  Un peu short quand même ton code mais utile.