Se protéger des injections sql

elizabeth · 03/02/2012, 12h49

Bonjour,

l'un de mes sites a été victime d'un piratage, par injection d'une requête php.
ça ne m'était jamais arrivé auparavant, je cherche donc une solution pour sécuriser tout ça.

l'injection a permis d'accéder aux identifiants de connexions de la base de donnée.

ma question est donc la suivante :
si je remplace ma page de connexion par un htacces htpasswd, cela permettra donc de ne plus donner l'accès à la base de donnée des identifiants. est-ce que cela sera suffisant ?

dois-je revoir d'autres pages dans mon admin aussi ?

d'avance merci

hariman · 03/02/2012, 13h00

Bonjour,

Utilise la fonction mysql_real_escape_string() sur les valeurs obtenues à partir d'un formulaire. Cela permet d'éviter l'insertion de codes sql dans les valeurs d'un formulaire.

onesat · 26/02/2012, 03h11

Exemples

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
//connexion à la base donnée
	$connexion=mysql_connect("localhost", "root", "" )or die("cannot connect" );
	mysql_select_db("basedugenie" )or die("cannot select DB" );
	mysql_query("SET NAMES 'utf8'" );
 
$pseudo=mysql_real_escape_string($_POST["Pseudo"]);
		$email=mysql_real_escape_string($_POST["Email"]);
		$motdep=mysql_real_escape_string($_POST["pwd1"]);

Tsilefy · 26/02/2012, 17h45

Il vaut mieux éviter les fonctions mysql_* désormais, préferez à la place PDO ou mysqi, et utilisez des requêtes préparées. Zéro risque d'injection dans ce cas.

Et pour nettoyer ou valider les données au besoin, utilisez les filters.

03/02/2012, 12h49	#1
elizabeth Invité régulier Inscription : avril 2004 Messages : 17 Détails du profil Informations forums : Inscription : avril 2004 Messages : 17 Points : 6 Points : 6	Se protéger des injections sql Bonjour, l'un de mes sites a été victime d'un piratage, par injection d'une requête php. ça ne m'était jamais arrivé auparavant, je cherche donc une solution pour sécuriser tout ça. l'injection a permis d'accéder aux identifiants de connexions de la base de donnée. ma question est donc la suivante : si je remplace ma page de connexion par un htacces htpasswd, cela permettra donc de ne plus donner l'accès à la base de donnée des identifiants. est-ce que cela sera suffisant ? dois-je revoir d'autres pages dans mon admin aussi ? d'avance merci
	00

03/02/2012, 13h00	#2
hariman Membre éclairé Luc Hariman RANDRIANOMENJANAHARY Développeur Java Inscription : janvier 2008 Messages : 175 Détails du profil Informations personnelles : Nom : Luc Hariman RANDRIANOMENJANAHARY Localisation : Ile Maurice Informations professionnelles : Activité : Développeur Java Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2008 Messages : 175 Points : 349 Points : 349	Bonjour, Utilise la fonction mysql_real_escape_string() sur les valeurs obtenues à partir d'un formulaire. Cela permet d'éviter l'insertion de codes sql dans les valeurs d'un formulaire. __________________ Les boutons et adorent être cliqués, donc ne les oubliez pas
	00

26/02/2012, 17h45	#4
Tsilefy Membre éclairé Inscription : mai 2008 Messages : 359 Détails du profil Informations forums : Inscription : mai 2008 Messages : 359 Points : 397 Points : 397	Il vaut mieux éviter les fonctions mysql_* désormais, préferez à la place PDO ou mysqi, et utilisez des requêtes préparées. Zéro risque d'injection dans ce cas. Et pour nettoyer ou valider les données au besoin, utilisez les filters.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email