[PHP] Verif de formulaire et controle sur IP

Par clenake, il y a 10 ans

PHP

Bonjour,

J'ai quelque questions concernant la sécurité.

J'ai un form global plus un d'upload qui est traité et n'est pas obligatoire. Par contre tous les autres champs de mon form sont obligatoires, donc à part le htmlspecialchars sur les champs textes au moment de l'affichage, je crois qu'au moment du traitement, je n'ai rien de spécial à vérifier.

Autre question: en ce qui concerne les injections sql, j'ai cru comprendre qu'elles ne sont pas possibles avec les requêtes préparées mais seulement dans le cas ou des données passent par l'url.

Est-ce que c'est juste ?

Enfin, je bloque sur un dernier truc.

J'ai une liste de campings sur lesquels on peut donner son avis via mon form et je voudrais limiter à un seul commentaire par camping et par IP.

J'ai donc trouvé une fonction toute prête qui me récupère l'IP et ensuite je l'enregistre dans ma table avis au moment du traitement de mon form. C'est pour la suite que je ne sais pas comment m'y prendre.

Merci pour votre aide :)

3 réponses

Lartak, il y a 10 ans

Bonjour.

Autre question: en ce qui concerne les injections sql, j'ai cru comprendre qu'elles ne sont pas possibles avec les requêtes préparées mais seulement dans le cas ou des données passent par l'url.

Alors là, tu as tout faux, car les injections SQL sont justement plus risquées quand les données sont passées en GET (par l'URL), par contre, elles sont quand même possible lorqu'elles sont transmises en POST.
Que ce soit pour l'une ou l'autre méthode, il est largement préférable de faire des vérifications via un système de validation par exemple, des données qui sont transmises par l'utilisateur et qui sont destinées à être utilisées dans une requête SQL.

J'ai donc trouvé une fonction toute prête qui me récupère l'IP et ensuite je l'enregistre dans ma table avis au moment du traitement de mon form. C'est pour la suite que je ne sais pas comment m'y prendre.

Étant donné que nous ne savons pas ce que tu veux faire après avoir fait l'enregistrement en base de données, je ne vois pas comment nous pouvons t'aider pour ce point.

Mehdi Kamil, il y a 10 ans

Bonjour,
@Lartak a répondu à tes deux premiers question je vais terminer, pour terminer ton systeme est limité à un seul commentaire par camping alors dans ce cas la il faut verifier si l'ip qui envoie le commentaire est déjà présente dans ta table si oui alors tu bloque si non tu laisse la procédure se dérouler. :)

clenake, il y a 10 ans

Bonjour et merci de vos réponses,
Ok, donc non seulement il faut vérifier que toutes les entrées du formulaire sont bien présentes mais aussi que ce qui est envoyé correspond bien à ce qu'on attend ( chiffre, date, etc).
Et même avec des requêtes préparées, les injections SQL sont possibles.
Pour l'ip, c'est ce que j'ai essyé de faire Medhi Kamil, mais je n'ai pas réussi.