[Sécurité] Sécurisation de formulaire [Résolu]

yaka2 · 21/02/2006, 15h32

Bonjour,

Sur cette page j'ai trouvé des infos sur l'injection SQL:

http://www.phpsecure.info/v2/article/InjSql.php

aucun de mes formulaires ne réagit sur: \" or a=\"a , (j'ai essayé avec des ' ou des \") alors est-ce que parce qu'ils sont suffisamment sécurisés (je ne vois pas comment...) ou alors je ne trouve pas la bonne formule...

Enfin, je ne trouve pas exactement si je peux utiliser la fonction mysql_real_escape_string() car l'une des données envoyées contient une @ ...

Est-ce qu'il y a un endroit où l'on peut trouver une liste des caractères qui permettrait ces injections, de façon à pouvoir bloquer la saisie de ceux-ci ?

Merci

Kioob · 21/02/2006, 15h38

hello,

mysql_real_escape_string() te permet justement de te prémunir de ces caractères. Donc pas besoin d'avoir une liste de caractères à proscrire (surtout que bloquer les apostrophes par exemple, ça risque de limiter pas mal les saisies...).

Sinon pour le fait que tu n'arrives pas à reproduire, déjà pour s'en rendre compte, le mieux est d'afficher la requete :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo '<pre>', htmlspecialchars( $requete ), "</pre><br />\n";

Ainsi tu verras si les antislashs ont été ajoutés ou non...

Si magic_quote_gpc est activé dans ta configuration de PHP, alors PHP aura automatiquement ajouté un antislash devant les guillemets simple ou doubles... sauf qu'il "oublie" des caractères auxquels MySQL est sensible... dans ce cas, comme indiqué dans la doc il faut faire un stripslashes() suivit d'un mysql_real_escape_string().

yaka2 · 21/02/2006, 15h42

Salut,

Merci pour toutes ces précisions, je vais m'employer à sécuriser tout ça.

Bonne fin d'après-midi

macbook · 21/02/2006, 15h44

Et que penser de strip_tags ?
Utile ou non ?

Kioob · 21/02/2006, 15h49

Pour moi non.

MySQL n'est absolument pas sensible au HTML, donc pour lui ça ne changera rien, et seule mysql_real_escape_string() est utile.

Après pour l'affichage, tout dépend de ce que tu cherches à faire... pour ma part je me contente de htmlspecialchars().

yaka2 · 22/02/2006, 11h30

Bonjour,

Alors effectivement le magic_quote_gpc est activé, donc j'ai mis quand même en place le mysql_real_escape_string(), mais je n'ai pas réussie à trouver comment on peut enlever ces antislashs, si bien que je ne peux pas vraiment tester pour voir si c'est efficasse.

Par contre, toujours concernant les caractères, mysql_real_escape_string() ne gère pas les %, et sur une de mes requetes avec LIKE, il suffisait d'entrer % autour de quelque chose pour passer... j'ai rajouté un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$valeur = str_replace( '%', '', $valeur );

a priori ça fonctionne bien.

Alors, est-ce que je suis vraiment à l'abri, ou est-ce qu'il y a d'autres caractères que je dois remplacer pour être tranquille...

21/02/2006, 15h32	#1
yaka2 Invité régulier Inscription : novembre 2003 Messages : 62 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 62 Points : 9 Points : 9	[Sécurité] Sécurisation de formulaire Bonjour, Sur cette page j'ai trouvé des infos sur l'injection SQL: http://www.phpsecure.info/v2/article/InjSql.php aucun de mes formulaires ne réagit sur: \" or a=\"a , (j'ai essayé avec des ' ou des \") alors est-ce que parce qu'ils sont suffisamment sécurisés (je ne vois pas comment...) ou alors je ne trouve pas la bonne formule... Enfin, je ne trouve pas exactement si je peux utiliser la fonction mysql_real_escape_string() car l'une des données envoyées contient une @ ... Est-ce qu'il y a un endroit où l'on peut trouver une liste des caractères qui permettrait ces injections, de façon à pouvoir bloquer la saisie de ceux-ci ? Merci
	00

21/02/2006, 15h38	#2
Kioob Membre chevronné Olivier Bonvalet Inscription : septembre 2004 Messages : 550 Détails du profil Informations personnelles : Nom : Olivier Bonvalet Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : septembre 2004 Messages : 550 Points : 723 Points : 723	hello, mysql_real_escape_string() te permet justement de te prémunir de ces caractères. Donc pas besoin d'avoir une liste de caractères à proscrire (surtout que bloquer les apostrophes par exemple, ça risque de limiter pas mal les saisies...). Sinon pour le fait que tu n'arrives pas à reproduire, déjà pour s'en rendre compte, le mieux est d'afficher la requete : Code : Sélectionner tout - Visualiser dans une fenêtre à part echo '<pre>', htmlspecialchars( $requete ), "</pre><br />\n"; Ainsi tu verras si les antislashs ont été ajoutés ou non... Si magic_quote_gpc est activé dans ta configuration de PHP, alors PHP aura automatiquement ajouté un antislash devant les guillemets simple ou doubles... sauf qu'il "oublie" des caractères auxquels MySQL est sensible... dans ce cas, comme indiqué dans la doc il faut faire un stripslashes() suivit d'un mysql_real_escape_string().
	00

22/02/2006, 11h30	#6
yaka2 Invité régulier Inscription : novembre 2003 Messages : 62 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 62 Points : 9 Points : 9	Bonjour, Alors effectivement le magic_quote_gpc est activé, donc j'ai mis quand même en place le mysql_real_escape_string(), mais je n'ai pas réussie à trouver comment on peut enlever ces antislashs, si bien que je ne peux pas vraiment tester pour voir si c'est efficasse. Par contre, toujours concernant les caractères, mysql_real_escape_string() ne gère pas les %, et sur une de mes requetes avec LIKE, il suffisait d'entrer % autour de quelque chose pour passer... j'ai rajouté un Code : Sélectionner tout - Visualiser dans une fenêtre à part $valeur = str_replace( '%', '', $valeur ); a priori ça fonctionne bien. Alors, est-ce que je suis vraiment à l'abri, ou est-ce qu'il y a d'autres caractères que je dois remplacer pour être tranquille...
	00

21/02/2006, 15h42	#3
yaka2 Invité régulier Inscription : novembre 2003 Messages : 62 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 62 Points : 9 Points : 9	Salut, Merci pour toutes ces précisions, je vais m'employer à sécuriser tout ça. Bonne fin d'après-midi
	00

21/02/2006, 15h44	#4
macbook Membre émérite Inscription : février 2006 Messages : 840 Détails du profil Informations forums : Inscription : février 2006 Messages : 840 Points : 924 Points : 924	Et que penser de strip_tags ? Utile ou non ?
	00

21/02/2006, 15h49	#5
Kioob Membre chevronné Olivier Bonvalet Inscription : septembre 2004 Messages : 550 Détails du profil Informations personnelles : Nom : Olivier Bonvalet Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : septembre 2004 Messages : 550 Points : 723 Points : 723	Pour moi non. MySQL n'est absolument pas sensible au HTML, donc pour lui ça ne changera rien, et seule mysql_real_escape_string() est utile. Après pour l'affichage, tout dépend de ce que tu cherches à faire... pour ma part je me contente de htmlspecialchars().
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email