Bonjour blond1n,
blond1n a écrit :
Dans 'configuration' 'paramètres de compte' j'avais laissé le 'Qui peut enregistrer des comptes ? ' en ' Les visiteurs, mais l'approbation d'un administrateur est requise ' c'est peut-être par là que ça passait.
Oui, sans aucun doute, puisque les comptes n'étaient pas actifs par défaut.
blond1n a écrit :
Je ne connais pas trop les méthodes pour éviter les injections sql, si tu as des conseils à me donner je suis preneur.
Le Web regorge d'articles sur les injections SQL. Il suffit de rechercher sur Google des termes comme "PHP Injection SQL" ou "Le langage de ton choix + Injection SQL" ou "Comment se protéger des injections SQL". C'est important de bien comprendre comment quelqu'un peut s'y prendre pour injecter du SQL et ensuite, d'apprendre les méthodes pour se protéger. Cela varie selon le langage utilisé. En PHP, l'utilisation de PDO revient souvent avec les requêtes préparées et des paramètres bien définis.
D'après la documentation de Drupal 7, ils ont un API pour faire des requêtes SQL. Et j'ai vu passer PDO aussi dans certains articles qui parlaient de Drupal.
Dès que tu construis une requête SQL, assure-toi d'utiliser la méthode sécuritaire pour passer les paramètres dynamiques, peu importe d'où proviennent ces paramètres : champs d'un formulaire, paramètres dans l'URL, valeurs dans un cookie, donnée de ta propre base de données, etc...
