Les failles des bases sql

[jakkky]

Bonjour,

J'aurais voulu savoir si il était possible qu'un site infaillible aux attaques de type injection SQL était immunisé pour toujours ou s'il pouvait redevenir faillible à un moment donné (pendant une maintenance par exemple...)

Je voudrais me lancer dans un site utilisant des espaces membres donc une base sql mais je n'ai pas beaucoup de temps à consacrer à mon site donc je voulais savoir si je pouvais me permettre de ne pas trop entretenir la sécu de la base et si l'infaillibilité était éphémère.

[Nudger]

Bonjour,

L'injection SQL n'est pas une faille de la base, mais une faille du programme par lequel une telle injection est possible.

Et donc oui, quelle que soit l'effort fournit pour sécuriser la base, il suffit de pas grand chose (une application un peu mal fichue) pour fragiliser les données concernées par cette application.

[SQLpro]

Citation:

Envoyé par Nudger

Et donc oui, quelle que soit l'effort fournit pour sécuriser la base, il suffit de pas grand chose (une application un peu mal fichue) pour fragiliser les données concernées par cette application.

Cela dépend aussi de la sécurité mise en œuvre dans le SGBDR avec notamment les utilisateurs SQL, les privilèges, l'authentification...etc; A ce sujet MySQL est certainement l'un des moins fiable tant il a peu de possibilité de sécuriser les accès aux données....
Notamment :
- sécurité des connexions et des utilisateurs très limitée
- pas de gestion des roles
- pas de privilèges possible au niveau schéma SQL
- pas de privilèges possible au niveau bases de données SQL
- pas de privilèges possible au niveau serveur
- impersonnalisation impossible
- pas de cryptage des données intégrée
- pas d'authentification possible par certificats
- pas d'audit d'audit de sécurité...

A +