Fonctions de sécurisation des chaines de caracteres

Ces de fonctions permettent de sécurité les variables contre les injections SQL et XSS.

Tous les codes

Boustifire

[4] sources en PHP voir

Code vu 4950 fois

Enregistré le 27 Avril 2008

téléchargement du zip

impression de la fiche

Code Source

01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.

<?php
/******************************************************************************/
/*                                                                            */
/*                       __        ____                                       */
/*                 ___  / /  ___  / __/__  __ _____________ ___               */
/*                / _ \/ _ \/ _ \_\ \/ _ \/ // / __/ __/ -_|_-<               */
/*               / .__/_//_/ .__/___/\___/\_,_/_/  \__/\__/___/               */
/*              /_/       /_/                                                 */
/*                                                                            */
/*                                                                            */
/******************************************************************************/
/*                                                                            */
/* Titre          : Fonctions de sécurisation des chaines de caracteres       */
/*                                                                            */
/* URL            : http://www.phpsources.org/scripts378-PHP.htm              */
/* Auteur         : Boustifire                                                */
/* Date édition   : 27 Avril 2008                                             */
/*                                                                            */
/******************************************************************************/


//Sécurisé la chaine de caractères contre les injection XSS
function securiseChaineTxt($string)
{   
             //On securise chaques balise HTML
    $string = htmlspecialchars ($string);
             //On securise la variable contre les injection SQL
    $string = mysql_real_escape_string($string);

    return $string;
}

//Sécurise un nombre(si on envoi 145APL par exemple, la fonction revoie 145)
function securiseNombre($nombre)
{
    $nombre = intval ($nombre);    //On ne recupere dans la variable que les nombres

    return $nombre;
}
?>

Tous les codes Sécurité

Fonctions du code

htmlspecialchars

: Convertit les caractères spéciaux en entités HTML - (PHP 4, PHP 5)

mysql_real_escape_string

: Protège les caractères spéciaux d'une commande SQL - (PHP 4 >= 4.3.0, PHP 5,...

intval

: - (PHP 4, PHP 5)

Commentaires

nixi54
Le 28 Avril 2008 à 10:21:00

Oo, 1 ptit snipet anti spam, je pense essentiellment a la fonction contre les injections SQL:mysql_real_escape_string

Un peu short quand meme ton code mais utile smile

Emacs
Le 01 Mai 2008 à 09:28:00

Ce code n'a absolument aucun intérêt pour les raisons suivantes :

1/ On ne fait pas de htmlspecialchars() avant insertion en BDD mais en sortie. On privilégie les données brutes en BDD. Et ce n'est pas une chaine HTML qui peut être dangereuse pour MySQL.

2/ mysql_real_escape_string() c'est bien mais si je n'utilise pas MySQL ? Et en fin de compte, en retirant le htmlspecialchars(), il ne nous reste que mysql_real_escape_string(), donc ce n'est plus la peine de créer une fonction par dessus.

3/ Pour le filtrage de données, il y'a l'extension Filter depuis PHP 5.2 et je te recommande d'utiliser PDO pour l'accès à la BDD. En utilisant par exemple les requêtes préparées, c'est PHP directement qui gèrera la sécurité des données.

++

Matt
Le 01 Mai 2008 à 12:30:00

Je plussoie fortement aux dires de Emacs : Aucun interet -> code a supprimer smile

Ajouter un commentaire