Ticket #171 - Sujet : la sécurité des formulaires
Créé le lundi 19 octobre 2009
- Assigné à :
- Le ticket n’a été assigné à personne.
Un sujet qu’il serait intéressant de présenter, concernant les formulaires.
Comment est gérée la sécurité dans les formulaires, et quelles sont
les bonnes pratiques à respecter pour être « dans les clous »
(c’est-à-dire utiliser des fonctions SPIP qui, en théorie, font le
travail de sécurisation) ?
Je vois deux points de ce côté :
– dans mon squelette de formulaire, est-ce que le fait de balancer les
#ENV** est suffisant, ou est-ce que ça peut laisse passer des injections
de machins ? Si c’est toutotomatik, ça serait bien de l’indiquer.
– quand je manipule la base de données avec les valeurs reçues depuis
les formulaires, qu’est-ce que je dois faire pour, encore une fois,
rester dans les clous ? sql_selectq, sql_updateq, ça fait quoi ?
1 commentaire
Seules les personnes identifiées peuvent écrire des tickets ou commentaires.
pour tout ce qui concerne les sql_* il suffit de pointer vers l’article de présentation de l’api sql sur spip.net non ?
http://www.spip.net/fr_article3683.html
++