Sécurisation du code PHP MySQL

Question

J'ai un script de suggestion de recherche PHP qui utilise MySQL comme back-end. Je suis conscient qu'il y a beaucoup de vulnérabilités dans mon code, je me demandais juste ce que je pouvais faire pour le rendre plus sûr.

Voici mon code:

<?php 
$database=new mysqli('localhost','username','password','database'); 
if(isset($_POST['query'])){ 
    $query=$database->real_escape_string($_POST['query']); 
    if(strlen($query)>0){ 
     $suggestions=$database->query(
      "SELECT * FROM search WHERE name LIKE '%" . $query . 
      "%' ORDER BY value DESC LIMIT 5"); 
     if($suggestions){ 
      while($result=$suggestions->fetch_object()){ 
       echo '<a>'.$result->name.'</a>';      
      } 
     } 
    } 
} 
?> 

Answer 1

En fait, il n'y a pas, vous échappez la seule valeur externe dans le SQL

Quoi qu'il en soit, je vous suggère de considérer d'utiliser PDO::prepare pour les requêtes. Rendez-vous ici pour plus d'infos

http://it.php.net/manual/en/pdo.prepare.php

Exemple:

$sth = $dbh->prepare('SELECT * FROM article WHERE id = ?'); 
$sth->execute(array(1)); 
$red = $sth->fetchAll(); 

Answer 2

Quelques conseils de moi:

• utilisation AOP,
• ne concaténer pas les paramètres de requête, utilisez les instructions préparées dans PDO,
• ne pas mettre "*" dans l'instruction SELECT, ge t seules les colonnes dont vous avez besoin,
• utilisez fetchAll() dans PDO, ne récupérez pas les enregistrements dans la boucle while().