Sebsauvage, le 06/10/2014 à 09:15
Visiblement il est possible de faire des attaques à travers mysql_real_escape_string(). Ce n'est donc pas la panacée pour vous protéger des attaques d'injection SQL.
(
Permalink)
Kevin Merigot > Sebsauvage, le 06/10/2014 à 10:37
Je sais que beaucoup n'aiment pas mais.....
Passer par un ORM règle le problème de SQL injection. Hibernate pour Java, iBATIS pour .Net, Doctrine pour PHP, Django pour Python, etc. (bon il y en a d'autres hein).
Alors oui, au niveau du code, ça alourdit un peu. Oui, ça vous fait dépendre d'une bibliothèque externe. Mais ça évite un casse-tête de malade.
(
Permalink)
Famille Michon > Sebsauvage, le 06/10/2014 à 10:50
Le seul moyen d'arrêter proprement les injections SQL, quel que soit le langage, c'est d'utiliser les prepared statements. En PHP on utilise MySQLi, par exemple.
(
Permalink)
phyks, le 07/10/2014 à 01:04
(
Permalink)