[php] Code source ?

[Dobry]

Bonjour,
Je ne suis pas sûr d'avoir saisi ce que tu souhaite faire, mais il y a un certains nombre d'éléments qui me dérangent dans ton code, et qui ne peuvent être negligés !
En effet, tu ne fais aucune vérification sur les variables qui tu ajoutes dans tes requêtes qui sont donc à priori toutes vulnérables aux injections SQL, par exemple si $username contient " ' ", la requete va être completement transformée et le pirate pourra faire ce qu'il veut sur ta base de donnée.
Tu peux trouver une explication sur ce type de faille http://n-pn.fr/t/Comment+exploiter+une+f...ction/1199, mais je trouve que ce "tuto" est très incomplet car il ne présente aucune solution à ce problème.

Je pense que la meilleur solution pour pallier à ce problème est d'utiliser les requetes préparées, disponible avec PDO ou Mysqli par exemple, cependant, si tu souhaite garder ton code similaire, tu peux utiliser la fonction http://php.net/manual/fr/function.mysql-...string.php sur tes variables (ce qui confirme ce que je disais avant).

Je me suis peut être éloigné de la question principale et peut être que tu fais ce traitement dans une partie du code que tu ne nous a pas montré, tout ca pour dire qu'il faudrait changer pour PDO ou Mysqli !

Une autre chose qui me gène c'est que tu fais appel à $username dans ta première requête, avant même de l'instancier à l'aide de la session (et il manque le sessions_start()) encore une fois, peut être que ce n'est juste pas dans la partie du code que tu nous a montré, et dans ce cas, j'aurais écrit tout cela pour rien.