Requête MYSQL sécurisée en utilisant l'entrée utilisateur

Question

Je veux juste vérifier si mes requêtes PHP-MYSQL sont sûres (si je le fais), j'utilise les données utilisateur qui arrivent via $ _POST puis je valide - le processus de validation de toutes les données inclut l'utilisation de mysqli_real_escape_string() sur la chaîne et trim(). La nature de certaines de mes entrées signifie cependant que je ne restreins aucun caractère à l'entrée de l'utilisateur. Est ce que je fais en toute sécurité et sinon comment pourrait-il être amélioré.

Un exemple d'une requête d'insertion (où $ nom et $ description sont $ _POST valeurs de données qui sont passées par une fonction de validation.)

$sql = "INSERT INTO company(company_name, company_description) VALUES('".$name."', '".$description."')"; 
$result = mysqli_query($con, $sql); 

Un exemple d'une requête de sélection (où CompanyID $ est l'utilisateur entrée, real_escaped et dépouillé)

$sql = "SELECT * FROM events WHERE event_company=".$companyid.""; 
$result = mysqli_query($con, $sql); 

Merci à l'avance.

Answer 1

Voici vos requêtes mises à jour pour utiliser les instructions préparées mysqli.

$sql = "INSERT INTO `company` (`company_name`, `company_description`) VALUES(?, ?)"; 
$stmt = $con->prepare($sql); 
$stmt->bind_param('ss',$name,$description); // ss is for string string 
$stmt->execute(); 
$result = $stmt->get_result(); 

et

$sql = "SELECT * FROM `events` WHERE `event_company` = ?"; 
$stmt = $con->prepare($sql); 
$stmt->bind_param('i',$companyid); // i indicates integer 
$stmt->execute(); 
$result = $stmt->get_result(); 

Answer 2

Il existe un type de hack appelé "INJECTION SQL" qui peut tromper votre contrôle. Lire ici pour plus d'informations https://www.veracode.com/security/sql-injection