[PHP 5.1] Sécurisation des données saisies

alain78 · 02/04/2011, 10h24

Bonjour,

Excusez moi si je ne poste pas dans le bon forum, mais je n'ai pas trouvé de forum sur la sécurité.

Ce n'est pas un problème que je pose mais une question.

Dans mes formulaires PHP je sécurise les données renseignées par l'utilisateur avant de les stocker dans la base de données.
Pour les champs 'texte' j'utilise la fonction mysql_real_escape_string($donnee_saisie).

Pour des raisons spécifiques, certaines données doivent être stockées en base de données sous forme cryptée. Je crypte mes données via une fonction propre à l'application avant de les envoyer à la BDD.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$donnee=crypter($donnee_saisie) ;

Puis je stocke dans la base Mysql par une requête INSERT ou UPDATE.

Bien sûr lorsque je récupère mes données de la base pour les utiliser je les décrypte via une fonction propre à l'application.

Question.

Le cryptage des données préalablement à leur stockage dans la base peut -il m'exonérer de l'utilisation de la fonction mysql_real_escape_string supprimant ainsi la faille d'injection ?

Merci à vous pour vos avis.

Bonne journée.

sabotage · 02/04/2011, 10h37

Si ta fonction de chiffrement ne te ramenes pas de caractères gênant comme des guillemets, tu n'as effectivement plus besoin d'echapper ta chaine.

alain78 · 02/04/2011, 10h53

En fait le moteur de cryptage consiste à remplacer chaque caractère par un autre selon un algorithme particulier.

Ainsi les caractères sensibles comme \ " présents dans la chaine saisie sont remplacés par d'autres caractères.

Après le cryptage ces caractères peuvent être présents mais leur position dans la chaine cryptée ne présente plus de danger car leur position résulte de algorithme de cryptage.

Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$chaine_cryptee="A0/15\'6k"lu*/f"

Je me demande cependant si la présence de ces caractères sensibles dans la chaine cryptée, ne vas pas perturber le déroulement du script.
Ainsi dans l'exemple ci dessus, la chaine sera t elle correctement utilisée ou seulement la partie "A0/15\'6k" ?

sabotage · 02/04/2011, 11h10

Si tu te retrouves avec des caractères spéciaux, il faut echapper ta chaine.

Sinon pourquoi tu n'utilises pas un algo de chiffrement existant ? Ca serait un peu plus robuste.

02/04/2011, 10h37	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Si ta fonction de chiffrement ne te ramenes pas de caractères gênant comme des guillemets, tu n'as effectivement plus besoin d'echapper ta chaine.
	00

02/04/2011, 11h10	#4
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Si tu te retrouves avec des caractères spéciaux, il faut echapper ta chaine. Sinon pourquoi tu n'utilises pas un algo de chiffrement existant ? Ca serait un peu plus robuste.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email