📂 Cybersécurité
Injection SQL : Anatomie d'une Vulnérabilité
💡 Quick Tip
Rappel : Ne faites jamais confiance aux entrées utilisateur. Désinfectez vos données.
Qu'est-ce que l'injection SQL (SQLi) ?
L'injection SQL permet à un attaquant d'insérer du code malveillant dans une requête. La meilleure défense est l'utilisation de Requêtes Préparées (Prepared Statements) avec des paramètres liés, traitant les données comme du texte pur et non comme du code.
📊 Practical Example
Scénario Réel : Correction d'un formulaire PHP
Étape 1 : Faille. Le code concatène $db->query("... WHERE nom = '" . $input . "'").
Étape 2 : Solution. Utilisez PDO : $stmt = $pdo->prepare("... WHERE nom = ?"); $stmt->execute([$input]);.
