Discussion :

[hugodu28]

bonjour,
je suis autodidacte en informatique et on m'a demandé de développer une interface qui permet de collecter des informations afin d'alimenter une base de données.

c'est ce que j'ai fais avec une base access et des formulaires php qui permettent d'alimenter la base , en direct.

Le responsable sécurité informatique a dit à juste titre que d'un point de vue sécurité, il n'y avait rien hormis un formulaire d'itentification.
Il a aussi parlé d'un type de formulaire qui poste les élèments vers un autre formulaire qui voit si les infos sont correctes et ce formulaire envoi les données vers la base.

Est-ce que ça vous parle? Si oui utilisez vous ce dispositif? Il y a-t-il un tuto quelque part?

Merci par avance pour votre aide et bonnes fêtes de fin d'année.

[mlebeguec]

Bonjour,

Vois les formulaires avec methode POST.

Les sessions php.

Les injections sql.

Il y a beaucoup trop de chose à voir d'un coup. Vois la documentation concernant ces point dans un premier temps.

Cordialement,

Natso.

[hugodu28]

je viens de lire quelques sites par rapport à tes remarques; donc si j'ai compris tout ce que j'ai lu;pour avoir un niveau de sécurité correcte (moyen voir fort), il faut:

- Un formulaire d'identification qui permet d'accéder à un formulaire de saisie.
- Le formulaire de saisie via la commande POST renvoie les données vers un formulaire en .php qui lui injecte les données vers la base de donnée.
-Dans le formulaire d'injection, les infos 'adresse' ; 'nom de la base' et 'mot de passe base' sont sur un autre formulaire en .php.

Est-ce bien ça?
Sauf que sur mon formulaire à "POSTER", clique droit affichage du code, j'ai l'adresse (le nom) du formulaire d'injection qui me donne aussi le nom du formulaire de connection.
Si je rentre ces nom dans le navigateur, ça m'ouvre les fichiers? Pour ma part, j'ai mis le code suivant s'il n'y a pas de session d'ouverte.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
session_start();
?>
...
<?php
 
if (isset($_SESSION["cookie_matricule"])) 
 
{ ....
} else header('Location:index.php');
?>

Cette technique est-elle suffisante pour décourager le hacker?
Cette technique empeche-t-elle des injections frauduleuses dans la base?
Si c'est non, comment augmenter la sécurité?

[hugodu28]

j'ai aussi vu la commande htmlentities mais je n'arrive pas à voir comment ça fonctionne, et aussi le cryptage des identifiants et mot de passe côté client qui tape la base de donnée pour voir si les infos sont justes.

En fait ce que je n'arrive pas à comprendre , c'est comment un hacker peut changer le code des formulaires sans avoir accès à la base de donnée.

et hormis le petit bout de code précédement sité, comment empêcher le hacker de lire le code des formulaires.

[mlebeguec]

Je ne comprends pas cela.
- Le formulaire de saisie via la commande POST renvoie les données vers un formulaire en .php qui lui injecte les données vers la base de donnée.

Ce qu'il faut faire dans un premier temps:
_ un formulaire d'authentification
Une fois identifié, l'utilisateur a accès à un formulaire de saisie
_ un formulaire de saisie
Lorsque l'utilisateur valide sa saisie, un traitement est effectué pour vérifier, sécuriser les données et la bdd.

Tout cela peut être fait avec une seule page.

Mais franchement, le premier tuto "bateau" sur les formulaires en php t'explique tout cela.


Cordialement,

Natso

[hugodu28]

hé bien écoute indique moi où je peux trouver ça
qu'entends tu par vérifier?

sécuriser la donnée et la bdd , là je ne connais pas du tout et je pense que c'est ce que je cherche, merci de me dire où trouver un tuto.

[Bovino]

merci de me dire où trouver un tuto.

C'est une farce ?
C'est indiqué en haut de la page : Cours PHP...

[hugodu28]

Non ce n'était pas une farce.
Quand on ne sait pas ce que l'on cherche, on ne sait pas où le trouver. depuis mon dernier post, j'ai trouvé plétor de tuto hyper bien expliqués et je trouve domage qu'il n'y ai pas un maxi mega warning sur tous ces problèmes de sécurité et que les tutos des formulaires d'utilisation des bases de données ne prennent pas en compte ce côté sécurité.
Je pense que c'est un choix des éditeurs pour faciliter la compréhension du code.

Maintenant, je vais retrousser mes manches pour sécuriser tout ça.

Merci à tous ceux qui ont participé à ce post