JeuWeb Créez votre jeu par navigateur !

Zamentur · 21-11-2008, 03:48 PM

Ekilio a écrit :Certes, mais dans ce cas, un autre exemple des dangers du non-typage :
Code PHP :
<?php 

$id = '0; DROP TABLE table';

'SELECT * FROM table WHERE id = ' . $id; 

Ekilio · 21-11-2008, 03:57 PM

Plume a écrit :Même sans framework, tu peux pas faire ça chez moi. J'aurai -comme tout le monde ici présent- plutôt tendance à faire ça :
Code PHP :
<?php

$id = '0; DROP TABLE table';



$intId = mysql_real_escape_string($id);

'SELECT * FROM table WHERE id = ' . $intId . ';'; 

**Sephi-Chan** · 21-11-2008, 04:41 PM

Ce qu'un lecteur non averti doit comprendre en lisant ce sujet, c'est qu'il ne doit absolument pas se fier au typage qui n'est finalement pas utile. C'est bien de savoir que ça existe (pour ça, ton article est intéressant), mais concrètement ça ne sert pas.

PHP est pauvrement typé, c'est un fait. Emuler un typage fort n'aurait strictement aucun sens.

Le débat qui est tenu ici dépasse le contexte de ce sujet et n'est pas constructif (c'est d'ailleurs pour ça que je ne le scinde pas) puisqu'on parle de choses impossible :

Non, le DROP ne fonctionnera pas puisque le pilote MySQL n'effectue qu'une action par requête (puis l'utilisateur n'a pas les droits) ;
Non le typage ne peut pas protéger efficacement de l'injection SQL (puisqu'il ne peut pas protéger les chaînes de caractères) ;

On en revient donc au sujet : Se protéger contre l'injection SQL.

Plume a écrit :Même sans framework, tu peux pas faire ça chez moi. J'aurai -comme tout le monde ici présent- plutôt tendance à faire ça :
Code PHP :
<?php

$id = '0; DROP TABLE table';



$intId = mysql_real_escape_string($id);

'SELECT * FROM table WHERE id = ' . $intId . ';'; 

Plume · (Modification du message : 21-11-2008, 10:48 PM par Plume.)

Je sais, je sais. J'ai remarqué après coup que j'avais probablement fait une boulette. C'est le problème que je rencontre avec les frameworks, c'est que j'oublie certaines bonnes habitudes puisqu'il y pense à ma place. Dans ma librairie perso, je fais un truc comme ça pour la validation de données provenant de formulaire :

Code PHP :
<?php 

$this->_arrValidation->setRules('username', 'Username', 'trim|addslashes|mysql_real_escape_string|required|min_length[5]|max_length[12]|xss_clean');

$this->_arrValidation->setRules('password', 'Password', 'trim|addslashes|mysql_real_escape_string|required|matches[passconf]|md5');

$this->_arrValidation->setRules('passconf', 'Password Confirmation', 'trim|addslashes|mysql_real_escape_string|required');

$this->_arrValidation->setRules('email', 'Email', 'trim|addslashes|mysql_real_escape_string|required|valid_email'); 

Kassak · (Modification du message : 21-11-2008, 10:26 PM par Kassak.)

Je dois avouer que je vous est lâché depuis un moment Wink

Je suis qu'un petit programmeur qui a appris seul après les cours le soir...tout ça pour moi c'est du charabia, et j'en reste au même point qu'à mon 1er post en faites.

Si quelqu'un pouvait faire un petit résumé rapide, simple et efficace de tout ça (du typage etc...), se serait vraiment sympa Wink

Merci

Edit : ET ma question de départ est comment se protéger au mieux de l'injection SQL ?

**Sephi-Chan** · 21-11-2008, 10:46 PM

Et bien, pour te protéger efficacement des injections, il te suffit de vérifier les données que tu vas utiliser dans ta requête.
Il faut vérifier qu'il s'agit bien de ce que tu attends.

Admettons que tu permettes à tes membres de choisir un choix dans une liste (un pays, par exemple). Dans ton script de traitement, il faut que tu vérifies si la valeur entrée est bien autorisée.

Si tu attends l'identifiant d'un membre, tu dois vérifier que c'est bien un entier positif et qu'il est bien présent dans ta base.

Si tu attends du texte arbitraire (un message de forum, par exemple), tu ne peux rien faire de plus que de l'échapper (avec mysql_real_escape_string()).

Voilà, c'est simple sur le papier, mais en pratique, le plus difficile est de penser à tout.

Sephi-Chan

Kassak · 21-11-2008, 10:49 PM

Ok, et que viens faire le typage et le long tuto de Ekilio dans tout ça?

Plume · (Modification du message : 21-11-2008, 10:50 PM par Plume.)

Deux choix :

Utilise un framework ou une librairie
Utilise des fonctions comme mysql_real_escape_string() addslashes() trim()

Ensuite, contrôle toujours que la donnée que tu reçois est bien du type que tu attends, appartient bien à la liste que tu as écrit,...

Bref dans tous les cas --> Toujours contrôler ce qu'on reçoit Smile

P.

[Edit] Grilled.

Kassak : Rien =)

Holy · 06-12-2008, 10:40 PM

(21-11-2008, 10:49 PM)Plume a écrit : Deux choix :
Utilise un framework ou une librairie

Utilise des fonctions comme mysql_real_escape_string() addslashes() trim()

Je pige pas pourquoi utiliser trim() ?

Personnellement, j'ai une bête fonction qui me permet de déterminer "ce qui doit rentrer dans la BDD.
Ça donne ça:

Code PHP :
<?php

function secure($champ, $type, $extra = FALSE) {

if($type == 'int') {

return intval($_POST[$champ]);

}

elseif($type == 'string') {

return mysql_real_escape_string($_POST[$champ]);

}

}

?>

**Sephi-Chan** · 06-12-2008, 10:54 PM

Je ne trouve pas ça très utile… Tout au plus un gettype() pour distinguer les chaînes et les échapper, et encore…

Quitte à faire ça, autant tout faire manuellement.

Sephi-Chan

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[Securité] Comment se proteger contre les robots?	Argorate	9	5 419	04-05-2014, 02:43 AM Dernier message: Argorate
	protéger contre les XSS tout en concervant les html special char?	Argorate	7	5 054	04-05-2014, 02:42 AM Dernier message: Argorate
	sécurité blind injection sql	hercull	28	13 205	03-09-2013, 10:25 AM Dernier message: Xenos
	Le hashage peut-il entraîner une injection SQL ?	Ter Rowan	10	4 728	21-03-2010, 07:05 PM Dernier message: My Hotel
	SQL Inject Me - Module Firefox contre l'injection SQL	Kassak	7	4 380	06-02-2009, 05:27 PM Dernier message: Ruz