Bug report #171 - Sujet: la sécurité des formulaires
Created on Monday 19 October 2009
- Assigned to:
- This bug has been assigned to nobody.
Un sujet qu’il serait intéressant de présenter, concernant les formulaires.
Comment est gérée la sécurité dans les formulaires, et quelles sont
les bonnes pratiques à respecter pour être «dans les clous»
(c’est-à-dire utiliser des fonctions SPIP qui, en théorie, font le
travail de sécurisation)?
Je vois deux points de ce côté:
dans mon squelette de formulaire, est-ce que le fait de balancer les
#ENV** est suffisant, ou est-ce que ça peut laisse passer des injections
de machins? Si c’est toutotomatik, ça serait bien de l’indiquer.
quand je manipule la base de données avec les valeurs reçues depuis
les formulaires, qu’est-ce que je dois faire pour, encore une fois,
rester dans les clous? sql_selectq, sql_updateq, ça fait quoi?
pour tout ce qui concerne les sql_* il suffit de pointer vers l’article de présentation de l’api sql sur spip.net non ?
http://www.spip.net/fr_article3683.html
++