Salut a tous !
 
Ayant un souci avec mes formulaire et les saisi d'apostrophe dans ces derniers, j'ai effectués des recherches et fais pas mal d'essai. J'ai reussi a faire en sorte que mes apotrophes soit accepter, mais non sans erreur !
 
Donc a la base j'avais ca :
 

 
j'ai réussi a faire accepter mes apostrophes avec ca :  

 
malgres le faite que mon insertion SQL soit effective, cela genere une erreur. Sauf qu'en essayant de reiteré ce resultat, je n'y arrive plus ^^
 
Sur la doc de Php j'ai trouver une autre chose et essayer ca:

 
Mais cela ne marche pas du tout !
 
alors que l'exemple du site etait :

 
Si vous avez une idée pour décoincer ma situation, je suis preneur.
 
Merci

C'est n'importe quoi. Vraiment.
 

• Si tu es en PHP 5.1 ou supérieur, prière de passer par les bound parameters de mysqli ou PDO.
• Sinon, prière d'appliquer mysql_real_escape_string sur toutes les valeurs venant du user, et pas l'espèce de soupe merdique que tu nous a pondu

$query = sprintf("INSERT INTO news(id_news, date, nom, titre, news) VALUES ('',".now().",'%s','%s','%s')",
    mysql_real_escape_string($nom), 
    mysql_real_escape_string($titre), 
    mysql_real_escape_string($news));

 
Sachant que dans tous les cas ça n'empêche pas de réfléchir 30 secondes avant de pondre ce genre de merdes.

 
N'importe quoi ?! oupsss, desoler,mais toute mes requetes Sql ont cette tete, alors je dois comprendre que j'ai tous a reprendre toutes mes requetes !?
 
je prend note de tes remarques, et je les appliquerais, mais j'aimerais aussi comprendre pourquoi
 
 
les bound parameters de mysqli ou PDO, ca me dit rien du tous, alors je vais me rencarder dessus !
 
mysql_real_escape_string sur toutes les valeurs venant du user, oky, je prend note !
 
le truc qui est bizarre, c'est la tete des valeurs passé: '%s','%s','%s' , je comprend pas pourquoi tu les indiques de cette maniere !
 
 

Oui, si toutes tes requêtes sont comme celle là ton appli c'est du gruyère niveau sécurité, et faut pas t'étonner si tu te fais un jour hacker.

http://en.wikipedia.org/wiki/SQL_injection
http://ocliteracy.com/techtips/sql-injection.html
http://weblogs.sqlteam.com/jeffs/a [...] 10728.aspx

http://fr.php.net/sprintf
 
 

Merci pour ces liens !
 
effectivement, si l'ont peut inserer n'importe quelle argument Sql dans les formulaires, ca fait de sacré faille de sécurité.
 
Disons que la sécurité de mon site n'est pas vraiment importante, puisqu'il s'agit d'un gestionnaire de parc informatique en PHP, donc les information n'y sont pas crucial, sauf les numero de serie de windows, et l'historique de toutes pannes et dépannage..... et comme c'est sur le réseau interne, les attaques sont limitées ^^. Mais pas principe je vais corriger ca !
 
Sinon j'ai essayer de hacker le login de mon site, grace au exemple donner sur les liens que tu m'a fournis plus haut, et je n'ai pas reussi. Alors je ne sais pas si ce script est bien fait ou si j'ai fait une mauvaise manip de hack ^^

Me revoila ^^
 
je continu a modifier mon site, en enlevant les requetes Sql 'dangereuse'
 
donc grace a vos conseil je sais remplacer des requetes type INSERT, mais maintenant j'en suis au requete Type UPDATE, et la c'est le drame !
 
le truc c'est que la requete a l'air de s'executer sans souci, que la valeur a inseré est bonne, et que la variable qui conditionne ou faire l'update est bonne ! mais il en resulte que ma champs reste vide apres l'execution de mon script
 
le voici
 

 
$rapport n'est pourtant pas vide, mais non, ma table n'est pas renseigné !
 
Merci de votre soutient !