JeuWeb Créez votre jeu par navigateur !

Kassak · (Modification du message : 20-11-2008, 03:34 PM par Kassak.)

Bonjour bonjour, je suis en train de voir comment réduire au maximum les risques d'injection SQL sur mes formulaires.

Pour le moment, j'utilise les solutions suivantes :

-Nom de table plus compliqué, du style tdk_membre...
-Vérifier après récupération d'une données en GET si elle ne contient bien que des chiffres, ou que des lettres, minuscule ou majuscule..sinon on quitte la page.
-Après qu'un membre est validé un formulaire, on récupère les données des champs, et on utilise un petit mysql_real_escape_string($_POST['xx']) afin de vire les caractères généralement utilisé en cas d'injection.

Mais ensuite, que peut on faire de plus ?

Edit : Il y a bien des tutos sur le net, mais comme toujours, je préfère entendre VOS solutions Wink

**Sephi-Chan** · 20-11-2008, 03:51 PM

Plus simplement, pour éviter les injections, il suffit de contrôler les données qui entrent dans le programme. Pour ça, il faut écrire des validateurs (c'est une force des frameworks, qui proposent d'excellentes solutions de ce genre) qui vérifient le format des données. Donc, si c'est un identifiant correct (is_numeric($var) === true && $var > 0), mais également des regex pour les chaînes, etc. Si tu attends une valeur dans une liste, tu vérifies que la valeur reçue est bien dans la liste, etc.

Bref, les données entrées doivent être fiables : ce sont celles que tu attends et rien d'autre.

Ensuite, tu échappes avec la fonction de ton SGBDR (mysql_real_escape_string() pour MySQL, effectivement) les chaînes de caractères (ça ne sert à rien d'échapper un nombre ^^).

Le problème, c'est qu'on a beau le savoir, on en oublie forcément quelque part. :heuuu:

Sephi-Chan

phenix · 20-11-2008, 03:58 PM

Au risque de répéter ce qui a déjà été dit, mais la solution la plus simple est d'appliquer mysql_real_escape_string() sur les donne POST et GET qui sont envoyer et qui seront utilisé pour faire des requêtes.

Si tu as la flemme tu peux utiliser un truc genre array_walk($_POST, 'mysql_real_escape_string'); mais perso j'ai pas tester si sa marchait...

Kassak · 20-11-2008, 04:15 PM

J'ai pas trop pigé l'histoire des validateurs Sephi...

Phenix, array_walk sert à quoi ?

KassaK, qui n'a rien compris....

**Sephi-Chan** · (Modification du message : 20-11-2008, 05:30 PM par Sephi-Chan.)

Kassak a écrit :J'ai pas trop pigé l'histoire des validateurs Sephi...

Et bien il te suffit d'écrire une fonction qui valide (ou non) tes variables. Une fonction a qui tu donnes une valeur et qui te renvoie true si cette valeur est valide, et false si elle ne l'est pas. Par exemple isValidNickname(), isValidId(), etc.

Kassak a écrit :Phenix, array_walk sert à quoi ?

Sans être Phenix, je peux dire que tu déconnes… Il te suffit de taper l'URL php.net/array_walk pour le savoir.

Par contre, je te déconseille fortement cette méthode puisque c'est du gâchis. Tout n'a pas à être échappé. La sécurité, ça se fait de manière intelligente, pas comme un bœuf !?

Si tu es curieux, tu peux consulter la documentation des composants Zend Validate, Zend Filter du Zend Framework. C'est extrêmement souple.
Et si tu aimes bidouiller et ne pas réinventer la roue, tu peux même songer à utiliser ces classes dans ton application ! Pourquoi pas en complément de Zend Form ?

Sephi-Chan

Kassak · 20-11-2008, 04:41 PM

Ok, je vais voir tout ça merci bien Wink

Et pour le array_walk, faut dire que j'avais la flemme de chercher -_-'.

Ekilio · 20-11-2008, 06:52 PM

Pour ceux qui ne voudrais pas s'embetter avec tout le Zend Framework, il y a aussi filter_var qui est interessant...

**Ter Rowan** · 20-11-2008, 09:06 PM

pour bien préciser :p

1) mysql_real_escape_string() suffit si je veux utiliser une saisie utilisateur (venant du poste client quoi) dans une requête SQL (que ce soit de l'update, de l'insert, du select)

2) est-il utile de toujours tester le "is_numeric" , dans le cas où la valeur 0 ne pose pas un risque (ie si =0 alors pas d'action)

ie. que se passe t il si
- toto = 3* $Post["toto"]; (avec "13aaaieri" ou "aeeer")

est ce que le résultat est : toto = 39 et toto = 0

- "Select * from truc where id =".mysql_real_escape_string($Post["toto"])
avec toto "aeee OR 1=1"

est ce que le résultat est : "Select * from truc where id =0" ou "Select * from truc where id = 0 OR 1=1"

Ekilio · (Modification du message : 20-11-2008, 10:54 PM par Ekilio.)

Ter Rowan a écrit :pour bien préciser :p

1) mysql_real_escape_string() suffit si je veux utiliser une saisie utilisateur (venant du poste client quoi) dans une requête SQL (que ce soit de l'update, de l'insert, du select)

2) est-il utile de toujours tester le "is_numeric" , dans le cas où la valeur 0 ne pose pas un risque (ie si =0 alors pas d'action)

ie. que se passe t il si
- toto = 3* $Post["toto"]; (avec "13aaaieri" ou "aeeer")

est ce que le résultat est : toto = 39 et toto = 0

Le resultat est simple à voir :

Code PHP :
<?php

$a = 3;

$b = '13aaaieri';

echo $a * $b;

?>

**Sephi-Chan** · 20-11-2008, 10:11 PM

Dans ce cas, plutôt que d'utiliser intval, n'est-il pas encore plus simple de faire un transtypage (cast) ? Par exemple :

Code PHP :
<?php 

'SELECT * FROM table WHERE id = ' . (int) $id 

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[Securité] Comment se proteger contre les robots?	Argorate	9	5 419	04-05-2014, 02:43 AM Dernier message: Argorate
	protéger contre les XSS tout en concervant les html special char?	Argorate	7	5 053	04-05-2014, 02:42 AM Dernier message: Argorate
	sécurité blind injection sql	hercull	28	13 205	03-09-2013, 10:25 AM Dernier message: Xenos
	Le hashage peut-il entraîner une injection SQL ?	Ter Rowan	10	4 725	21-03-2010, 07:05 PM Dernier message: My Hotel
	SQL Inject Me - Module Firefox contre l'injection SQL	Kassak	7	4 379	06-02-2009, 05:27 PM Dernier message: Ruz