Injection de script - validation de formulaire (jquery)

J'utilise plusieurs formulaires sur mon site pour envoyer des données à MySQL.Injection de script - validation de formulaire (jquery)

Quel est le meilleur moyen/méthode pour valider mon formulaire, si je ne veux pas que les utilisateurs envoient un script à la base de données via mes formulaires?

Source

2009-11-01 Anonymous

Jetez un oeil à: http://stackoverflow.com/questions/526438/do-you-only-run-htmlspecialchars-on-output-or-is-there-other-functionality-you/527092#527092 – gahooa

Cette description est beaucoup trop vague. Quand vous dites, "vous utilisez plusieurs formulaires pour envoyer des données", que voulez-vous dire? Est-ce que les formulaires reviennent à un script intermédiaire qui effectue l'interaction réelle, ou y a-t-il quelque chose de vraiment horrible comme le passage direct à MySQL? – Rob

Oubliez jQuery. Vous ne pouvez rien utiliser sur le client pour sécuriser les choses - le client peut toujours le remplacer.

Vous devez traiter les données sur le serveur. Voir How can I prevent SQL injection in PHP? pour protéger votre base de données et What are the best practices for avoiding xss attacks in a PHP site pour protéger vos pages.

Source

2009-11-01 16:12:13 Quentin

merci. J'essaie d'apprendre ça .. –

Est-ce toujours une question chargée ... et couvre plus que ne peut contenir une seule réponse.

Si vous avez à poser une question dans les termes généraux que vous avez fait, je recommande fortement de trouver un mentor pour vous aider car ce n'est pas un sujet que vous voulez vraiment apprendre sur le tas.

Plusieurs questions similaires ont été posées et je vous encourage fortement à les rechercher et à les lire. En outre, recherchez des billets de blog de qualité sur ceci et/ou une communauté centrée autour d'un produit particulier qui est semblable à celui que vous construisez pour voir comment ils l'ont fait.

Quelques conseils dans l'intervalle:

Je remarqué la balise jquery ... validation JavaScript doit être la 2ème chose que vous regardez et plus comme un moyen de fournir une rétroaction immédiate pour l'utilisateur. Comme il peut être désactivé du côté client, vous ne pouvez pas compter sur une validation JavaScript.
Vérifiez strictement les types de données sur le serveur. Si vous êtes censé obtenir un numéro, assurez-vous que c'est vraiment un nombre. Si c'est l'une d'une poignée d'options, vérifiez et n'acceptez que les options disponibles.
Ne pas simplement accepter les données d'un contrôle de formulaire - même si c'est une boîte de sélection ou un champ caché. Les gens vont jouer bugs silly avec vos données de formulaire et vous ne pouvez pas compter sur ce que vous pensez que vous allez revenir.

Source

2009-11-01 16:12:53 AnonJr

Pour empêcher l'injection SQL, utilisez prepared statements. Pour empêcher l'injection HTML, consultez htmlspecialchars, htmlentities, strip_tags et les fonctions filter ou utilisez une bibliothèque tierce pour supprimer tous les attributs & des balises exclues.

Source

2009-11-01 16:39:19 outis

Injection de script - validation de formulaire (jquery)

Répondre

Questions connexes