securité lors de la saisie

[z_ahlam]

bonjour, s'il vous plait comment fair un securite contre les attaques lor de la saisie. par exemple un nom qui contien les mots résérvés AND , OR....
comment faire la securité svp.

[mikah]

Tu peux te protéger en utilisant la simple quote dans une double quote exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$query = "SELECT * FROM table WHERE champ1='".$var."'";
mysql_query($query);

Il prendra donc tout ta variable pour une chaîne de caractère.

[z_ahlam]

mercie pour la réponse mais
ça me parrait trés simple , ou est la securité?

[mikah]

La sécurité est que ta variable vas être analysée comme une chaine de caractère entière et lorsque tu va soumettre ta requête il ne vas pas considérer que c'est la suite de la requête. Exemple :

Imaginons que ta variable vaut "7 AND toto=2"

Lorsque tu fais cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$query = "SELECT * FROM table WHERE champ1 = '".$tavar."'"

tu envoies la requête suivante :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE WHERE champ1 = '7 AND toto=2'

Il vas donc rechercher toutes les lignes dont le champ1 vaut 7 AND toto=2

tandis que si tu fais cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$query = "SELECT * FROM table WHERE champ1 =  $tavar"

Il vas renvoyer la requête suivante :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE WHERE champ1 = 7 AND toto=2

d'où le manque de sécurité, tu comprends ?

[z_ahlam]

oui oui mercie bcp j'ai compris .
alors il faut que toute mes requettes je les modifi comme ça?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query = "SELECT * FROM table WHERE champ1 = '".$tavar."'" and champ2= '".$tavar2."'"

??

[z_ahlam]

j'ai un formulaire pour les eleves pour inscription en ligne , il ecrivent nom , prenom......leurs données, comment proteger avant l'insertion, lors de $_POST????

[mikah]

Citation:

Envoyé par z_ahlam

oui oui mercie bcp j'ai compris .
alors il faut que toute mes requettes je les modifi comme ça?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query = "SELECT * FROM table WHERE champ1 = '".$tavar."'" and champ2= '".$tavar2."'"

??

Exactement.

[djayp]

Salut !

Attention : l'utilisation des simples quote ou doubles quote ne protège absolument pas les données issues d'un formulaire ! Il sera en effet toujours possible pour un pirate d'injecter du SQL ou d'exploiter les failles XSS !

Toute variable, notamment si elle provient d'un formulaire, doit être validée. Le format des données attendues doit être vérifié (ex: adresse email). Les principales fonctions à utiliser : mysql_real_escape_string() , intval(), htmlentities(), strip_tags() ...

Je te conseille de voir la Faq et les cours sur la sécurité...

A++

[othmane126]

Citation:

Envoyé par mikah

La sécurité est que ta variable vas être analysée comme une chaine de caractère entière et lorsque tu va soumettre ta requête il ne vas pas considérer que c'est la suite de la requête. Exemple :

Imaginons que ta variable vaut "7 AND toto=2"

Lorsque tu fais cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tu envoies la requête suivante :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE WHERE champ1 = '7 AND toto=2'

Il vas donc rechercher toutes les lignes dont le champ1 vaut 7 AND toto=2

tandis que si tu fais cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Il vas renvoyer la requête suivante :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE WHERE champ1 = 7 AND toto=2

d'où le manque de sécurité, tu comprends ?

Et si je tapait "7' OR 1", voilà ce que ça donne:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE WHERE champ1 = '7' OR 1'

Comme dit djayp, on ne résout pas les problème d sécurité ainsi

[z_ahlam]

mercie bcp pour vos explications et mercie bcp pour les lien
voilà comment j'ai fait.
le 2fonctions pour supprimer les vide et pour supprimer les carracteres speciaux mais les doubles cotes restent tjrs ne sont pas supprimer.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
 
function normls($mot) 
{
// remplacer plusieurs vides par un seul
$nbrmot2 = 2;
while($nbrmot2>=2)
{
$mot=str_replace('  ',' ',$mot);
$tableaumot2 = explode('  ',$mot);
$nbrmot2 = count($tableaumot2);
}
// supprimer les vides au début de la phrase
while(substr($mot,0,1)==' ')
{$mot=substr($mot,1);}
 
// supprimer les vides à la fin de la phrase
$nbb=strlen($mot)-1;
while(substr($mot,$nbb,1)==' ')
{
$mot=substr($mot,0,$nbb);
$nbb=strlen($mot)-1;
}
return $mot;
}
 
 
/***********************************************
SUPPRIMER  les cractères spéciaux              *
************************************************/
 
function mot_car_spc($mot_car_spc)
{
$ch="#[._&{}()\[\"|/\-?@+,=*]#";//la virgule ne doit pas etre placer devant #==>msg derreur
if (preg_match($ch, $mot_car_spc))     
 {
  for ($i=0;$i<strlen($ch);$i++) 
	{
	 $r=substr($ch,$i,1);
	 $mot_car_spc=str_replace($r,'',$mot_car_spc);
	}
 }
return $mot_car_spc;
}
//=================================================================
// récupération avec $_POST puis suppression des vides avec la fonction normls et supprimer les carracteres speciaux avec mot_car_spc
//===================================================================
 $aleatoire=($_POST["aleatoire"]); 
$nom=addslashes($_POST['nom']); $nom =htmlentities($_POST['nom']);   $nom =normls($nom) ; $nom =mot_car_spc($nom);
$prenom=addslashes(htmlentities($_POST["prenom"])); $prenom =normls($nom); $prenom=mot_car_spc($prenom);

j'ai tappé ces carracteres dans le champs NOM
à l'affichage voilà ce qu'elle donne===> 'zzzzz jhnkjn "aaaa'
et dans la base de donnee ========> zzzzz jhnkjn "aaaa

qu'elle est la solution