Question au sujet des bases de donnée
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
-
- Messages : 905
- Inscription : 2 avril 2010 à 20:14
Pour le CSRF ce sont justement les utilisateurs avec pouvoir (le staff dans votre cas) qui sont visés donc il faut se lancer dans les formulaires via token mais c'est un petit peu plus complexe à mettre en place et pas forcement nécessaire lorsque le site n'est pas important ou n'intéresse pas d'autres personnes.
Le XSS est utilisé principalement par des robots alors que le CSRF est utilisé par des pirates.
-
- Messages : 300
- Inscription : 7 mai 2010 à 19:27
Petit exemple :
Code : Tout sélectionner
<?php
$requete = $bdd->prepare("SELECT * FROM table WHERE pseudo = :pseudo");
$requete->execute(array("pseudo" => $_GET['pseudo']));
?>
Pour palier ce problème, il suffit de faire un htmlspecialchars() à l'affichage.