sécurité blind injection sql

[hercull]

Bonjour après de longues recherches je m'aperçois que mon site à apparemment des failles de type blind injection sql, j'ai beau chercher je ne trouve pas comment faire afin de combler ses failles et de protéger mon site.
j’envoie une variable en GET exemple ...?id=1 et je le récupère en intval($variable), seulement cela ne semble pas suffire, j'ai entendu parler de mysql_real_escape_string à utiliser, mais je ne vois pas comment, je le met à la place du intval()? cela n'est pas uniquement pour les chaines de caractère?
Enfin après lecture je vois que mysql_real_escape_string est obsolète...
Si quelqu'un sait comment se protéger de cette faille à l'heure actuel il me serai d'un grand secoure.
Merci.

[niahoo]

utilises PDO ou un ORM basé dessus c'est le plus simple. Pour les nombres entiers, intval est suffisant normalement.

[hercull]

Peut tu être plus précis stp, tu veux dire que pour les requêtes au lieu de passer par mysql... je passe par PDO?
Cela permet de sécuriser et d’empêcher les injection sql blind?

[niahoo]

Tu utilises un serveur mysql mais tu utilises la librairie PDO pour y accéder

http://fr2.php.net/manual/fr/pdostatement.execute.php

exemple tiré de la doc :

<?php

/* Exécute une requête préparée en passant un tableau de valeurs */

$calories = 150;

$couleur = 'rouge';

$sth = $dbh->prepare('SELECT nom, couleur, calories

    FROM fruit

    WHERE calories < :calories AND couleur = :couleur');

$sth->execute(array(':calories' => $calories, ':couleur' => $couleur));

?>

[hercull]

donc si je met intval($variable) quand je la récupère et que je me connecte avec PDO au lieu de mysql_connect je n'ai plus a craindre les sinjection sql?

[julp]

Ce sont les requêtes préparées qui permettent d'éviter les injections (sous réserve de les utiliser correctement), pas PDO en lui-même, qui permet, heureusement de faire aussi des requêtes non-préparées (= échappements à faire soi-même via PDO::quote). Elles (les requêtes préparées) ne sont pas aussi propres à PDO, elles existent dans d'autres extensions à commencer par mysqli puisque c'est le SGBD (partie cliente) qui les implémente (PHP ne fait qu'interfacer les API clientes via ses extensions).

intval aussi n'a rien à voir, et j'aimerais bien savoir comment tu peux avoir une injection avec ?!?

Enfin, on peut toujours utiliser les fonctions mysql_* qui ne sont que dépréciées pour l'heure, de toute façon si ton appli utilise ces fonctions, tu n'as pas le choix : c'est migrer (mysqli ou PDO) ou échapper ce qui doit l'être avec mysql_real_escape_string. Mais ce n'est pas parce que tu passes à mysqli ou pdo que tu règles le problème non plus.

[niahoo]

oui dans le bout de code que j'ai donné tu as un exemple de requête avec paramètres, ce qui permet de les sécuriser.

[Xenos]

Pareil que Julp.

Coté sécurité, je te renvoie aussi au Top 10 de l'OWASP (2013). L'injection s'y trouve en tête de liste
L'injection concerne tous les interprétateurs; généralement elle n'arrive que si on fait la "promotion" d'une valeur de l'utilisateur en une commande (c'est ce qui se passe quand on n'échappe pas une chaine ASCII par exemple: le guillemet entré par l'utilisateur termine la valeur, et le reste de ce que l'utilisateur a entré après le guillemet est considéré non plus comme une valeur mais comme une commande).

Pour ma part, j'interdis tout texte utilisateur (hors textes à white-list, aka pseudo, mail) dans ma base de données (que des nombres), mais c'est uniquement un choix personnel :p

[Ter Rowan]

intval aussi n'a rien à voir, et j'aimerais bien savoir comment tu peux avoir une injection avec ?!?

oui moi aussi, je ne comprends pas

[hercull]

ok merci pour vos réponses, donc je vais utiliser une requête préparé.
mais la variable que je récupère en GET est un nombre puis je utiliser mysql_real_escape_string? j'avais plutôt pensé utiliser intval() est ce un mauvais choix?

" julp a écrit : intval aussi n'a rien à voir, et j'aimerais bien savoir comment tu peux avoir une injection avec ?!?

oui moi aussi, je ne comprends pas "


je n'ai pas compris la question?