Blog Onext

Après l’introduction fait dans le premier volet, ce deuxième opus commence à entrer dans vif du sujet. En effet nous allons aborder les accès à la base de données.

La première des techniques : éviter la mise en commentaire par le «–» et le «UNION»

• «mysql_real_escape_string»; cela permet d’ajouter par exemple « \’ »devant toute tentative d’injection avec :

• «UNION»
• «– SELECT»

• «intval» : pour assurer le passage d’une variable numérique et éviter le «–»

Utiliser les fonctions suivantes du FRAMEWORK de TYPO3

• exec_INSERTquery / exec_UPDATEquery / exec_SELECTquery …
• « fullQuoteStr / fullQuoteArray / quoteStr », fourni une utilisation du addslashes()

Cet article a été publié le Mercredi 1 septembre 2010 à 15 h 57 min et est classé dans TYPO3. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.