Injection SQL
Qu'est-ce que c'est?
L'injection SQL est une attaque où un pirate insère du code SQL malveillant dans les champs de formulaire pour accéder à votre base de données.
Exemple
// VULNÉRABLE:\n$query = "SELECT * FROM users WHERE id = " . $_GET['id'];\n// Attaque: ?id=1 OR 1=1\n\n// SÉCURISÉ (requête préparée):\n$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");\n$stmt->execute([$_GET['id']]);Prévention
- Requêtes préparées — Utilisez PDO ou MySQLi avec des paramètres liés
- Validation des entrées — Validez et filtrez toutes les entrées utilisateur
- Principe du moindre privilège — L'utilisateur DB ne doit avoir que les permissions nécessaires
- WAF — ModSecurity bloque les tentatives d'injection SQL
Cet article vous a-t-il été utile?
Articles similaires