[A17] Protection aux injections SQL
Lun 26 Aoû - 10:28
par Francis Lapointe, lundi 6 novembre 2017, 11:16
Voici la façon de faire pour vous protéger des injections SQL d'une personne malveillant dans un formulaire:
var sql = "DELETE FROM ?? WHERE ??= ?";
var inserts = ['Tlogin','id',id];
sql = mysql.format(sql,inserts);
var query = connection.query(sql, function(err, rows, fields) { }
Les doubles point d'interrogation «??» sont remplacés par la valeur entre apostrophe suivant leur ordre et le point d'interrogation simple «?» est remplacé par la valeur sans apostrophe suivant leur ordre selon « var insert ». Ensuite, la fonction mysql.format(sql,inserts) assemble les données pour créer votre requête SQL. De cette façon, si une requête est écrite dans directement dans un formulaire, certains caractères vont se voir ajouter un « \ » se qui rendra la requête obsolète et inutilisable.
Voici la façon de faire pour vous protéger des injections SQL d'une personne malveillant dans un formulaire:
var sql = "DELETE FROM ?? WHERE ??= ?";
var inserts = ['Tlogin','id',id];
sql = mysql.format(sql,inserts);
var query = connection.query(sql, function(err, rows, fields) { }
Les doubles point d'interrogation «??» sont remplacés par la valeur entre apostrophe suivant leur ordre et le point d'interrogation simple «?» est remplacé par la valeur sans apostrophe suivant leur ordre selon « var insert ». Ensuite, la fonction mysql.format(sql,inserts) assemble les données pour créer votre requête SQL. De cette façon, si une requête est écrite dans directement dans un formulaire, certains caractères vont se voir ajouter un « \ » se qui rendra la requête obsolète et inutilisable.
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|