formulaire de renseignement à poster [Résolu]

hugodu28 · 21/12/2012, 09h01

bonjour,
je suis autodidacte en informatique et on m'a demandé de développer une interface qui permet de collecter des informations afin d'alimenter une base de données.

c'est ce que j'ai fais avec une base access et des formulaires php qui permettent d'alimenter la base , en direct.

Le responsable sécurité informatique a dit à juste titre que d'un point de vue sécurité, il n'y avait rien hormis un formulaire d'itentification.
Il a aussi parlé d'un type de formulaire qui poste les élèments vers un autre formulaire qui voit si les infos sont correctes et ce formulaire envoi les données vers la base.

Est-ce que ça vous parle? Si oui utilisez vous ce dispositif? Il y a-t-il un tuto quelque part?

Merci par avance pour votre aide et bonnes fêtes de fin d'année.

mlebeguec · 21/12/2012, 09h10

Bonjour,

Vois les formulaires avec methode POST.

Les sessions php.

Les injections sql.

Il y a beaucoup trop de chose à voir d'un coup. Vois la documentation concernant ces point dans un premier temps.

Cordialement,

Natso.

hugodu28 · 21/12/2012, 09h51

je viens de lire quelques sites par rapport à tes remarques; donc si j'ai compris tout ce que j'ai lu;pour avoir un niveau de sécurité correcte (moyen voir fort), il faut:

- Un formulaire d'identification qui permet d'accéder à un formulaire de saisie.
- Le formulaire de saisie via la commande POST renvoie les données vers un formulaire en .php qui lui injecte les données vers la base de donnée.
-Dans le formulaire d'injection, les infos 'adresse' ; 'nom de la base' et 'mot de passe base' sont sur un autre formulaire en .php.

Est-ce bien ça?
Sauf que sur mon formulaire à "POSTER", clique droit affichage du code, j'ai l'adresse (le nom) du formulaire d'injection qui me donne aussi le nom du formulaire de connection.
Si je rentre ces nom dans le navigateur, ça m'ouvre les fichiers? Pour ma part, j'ai mis le code suivant s'il n'y a pas de session d'ouverte.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
session_start();
?>
...
<?php
 
if (isset($_SESSION["cookie_matricule"])) 
 
{ ....
} else header('Location:index.php');
?>

Cette technique est-elle suffisante pour décourager le hacker?
Cette technique empeche-t-elle des injections frauduleuses dans la base?
Si c'est non, comment augmenter la sécurité?

hugodu28 · 21/12/2012, 09h58

j'ai aussi vu la commande htmlentities mais je n'arrive pas à voir comment ça fonctionne, et aussi le cryptage des identifiants et mot de passe côté client qui tape la base de donnée pour voir si les infos sont justes.

En fait ce que je n'arrive pas à comprendre , c'est comment un hacker peut changer le code des formulaires sans avoir accès à la base de donnée.

et hormis le petit bout de code précédement sité, comment empêcher le hacker de lire le code des formulaires.

mlebeguec · 21/12/2012, 10h17

Je ne comprends pas cela.
- Le formulaire de saisie via la commande POST renvoie les données vers un formulaire en .php qui lui injecte les données vers la base de donnée.

Ce qu'il faut faire dans un premier temps:
_ un formulaire d'authentification
Une fois identifié, l'utilisateur a accès à un formulaire de saisie
_ un formulaire de saisie
Lorsque l'utilisateur valide sa saisie, un traitement est effectué pour vérifier, sécuriser les données et la bdd.

Tout cela peut être fait avec une seule page.

Mais franchement, le premier tuto "bateau" sur les formulaires en php t'explique tout cela.

Cordialement,

Natso

hugodu28 · 21/12/2012, 15h57

hé bien écoute indique moi où je peux trouver ça
qu'entends tu par vérifier?

sécuriser la donnée et la bdd , là je ne connais pas du tout et je pense que c'est ce que je cherche, merci de me dire où trouver un tuto.

Bovino · 21/12/2012, 16h07

Citation:

Envoyé par hugodu28

merci de me dire où trouver un tuto.

C'est une farce ?
C'est indiqué en haut de la page : Cours PHP...

hugodu28 · 22/12/2012, 09h54

Non ce n'était pas une farce.
Quand on ne sait pas ce que l'on cherche, on ne sait pas où le trouver. depuis mon dernier post, j'ai trouvé plétor de tuto hyper bien expliqués et je trouve domage qu'il n'y ai pas un maxi mega warning sur tous ces problèmes de sécurité et que les tutos des formulaires d'utilisation des bases de données ne prennent pas en compte ce côté sécurité.
Je pense que c'est un choix des éditeurs pour faciliter la compréhension du code.

Maintenant, je vais retrousser mes manches pour sécuriser tout ça.

Merci à tous ceux qui ont participé à ce post

21/12/2012, 09h01	#1
hugodu28 Membre habitué hugues dupont Pompier Inscription : janvier 2010 Messages : 316 Détails du profil Informations personnelles : Nom : hugues dupont Localisation : France Informations professionnelles : Activité : Pompier Informations forums : Inscription : janvier 2010 Messages : 316 Points : 114 Points : 114	formulaire de renseignement à poster bonjour, je suis autodidacte en informatique et on m'a demandé de développer une interface qui permet de collecter des informations afin d'alimenter une base de données. c'est ce que j'ai fais avec une base access et des formulaires php qui permettent d'alimenter la base , en direct. Le responsable sécurité informatique a dit à juste titre que d'un point de vue sécurité, il n'y avait rien hormis un formulaire d'itentification. Il a aussi parlé d'un type de formulaire qui poste les élèments vers un autre formulaire qui voit si les infos sont correctes et ce formulaire envoi les données vers la base. Est-ce que ça vous parle? Si oui utilisez vous ce dispositif? Il y a-t-il un tuto quelque part? Merci par avance pour votre aide et bonnes fêtes de fin d'année.
	00

21/12/2012, 09h10	#2
mlebeguec Membre à l'essai Responsable de service informatique Inscription : août 2006 Messages : 24 Détails du profil Informations professionnelles : Activité : Responsable de service informatique Secteur : Industrie Informations forums : Inscription : août 2006 Messages : 24 Points : 21 Points : 21	Bonjour, Vois les formulaires avec methode POST. Les sessions php. Les injections sql. Il y a beaucoup trop de chose à voir d'un coup. Vois la documentation concernant ces point dans un premier temps. Cordialement, Natso.
	00

21/12/2012, 09h58	#4
hugodu28 Membre habitué hugues dupont Pompier Inscription : janvier 2010 Messages : 316 Détails du profil Informations personnelles : Nom : hugues dupont Localisation : France Informations professionnelles : Activité : Pompier Informations forums : Inscription : janvier 2010 Messages : 316 Points : 114 Points : 114	j'ai aussi vu la commande htmlentities mais je n'arrive pas à voir comment ça fonctionne, et aussi le cryptage des identifiants et mot de passe côté client qui tape la base de donnée pour voir si les infos sont justes. En fait ce que je n'arrive pas à comprendre , c'est comment un hacker peut changer le code des formulaires sans avoir accès à la base de donnée. et hormis le petit bout de code précédement sité, comment empêcher le hacker de lire le code des formulaires.
	00

21/12/2012, 10h17	#5
mlebeguec Membre à l'essai Responsable de service informatique Inscription : août 2006 Messages : 24 Détails du profil Informations professionnelles : Activité : Responsable de service informatique Secteur : Industrie Informations forums : Inscription : août 2006 Messages : 24 Points : 21 Points : 21	Je ne comprends pas cela. - Le formulaire de saisie via la commande POST renvoie les données vers un formulaire en .php qui lui injecte les données vers la base de donnée. Ce qu'il faut faire dans un premier temps: _ un formulaire d'authentification Une fois identifié, l'utilisateur a accès à un formulaire de saisie _ un formulaire de saisie Lorsque l'utilisateur valide sa saisie, un traitement est effectué pour vérifier, sécuriser les données et la bdd. Tout cela peut être fait avec une seule page. Mais franchement, le premier tuto "bateau" sur les formulaires en php t'explique tout cela. Cordialement, Natso
	00

21/12/2012, 15h57	#6
hugodu28 Membre habitué hugues dupont Pompier Inscription : janvier 2010 Messages : 316 Détails du profil Informations personnelles : Nom : hugues dupont Localisation : France Informations professionnelles : Activité : Pompier Informations forums : Inscription : janvier 2010 Messages : 316 Points : 114 Points : 114	hé bien écoute indique moi où je peux trouver ça qu'entends tu par vérifier? sécuriser la donnée et la bdd , là je ne connais pas du tout et je pense que c'est ce que je cherche, merci de me dire où trouver un tuto.
	00

22/12/2012, 09h54	#8
hugodu28 Membre habitué hugues dupont Pompier Inscription : janvier 2010 Messages : 316 Détails du profil Informations personnelles : Nom : hugues dupont Localisation : France Informations professionnelles : Activité : Pompier Informations forums : Inscription : janvier 2010 Messages : 316 Points : 114 Points : 114	Non ce n'était pas une farce. Quand on ne sait pas ce que l'on cherche, on ne sait pas où le trouver. depuis mon dernier post, j'ai trouvé plétor de tuto hyper bien expliqués et je trouve domage qu'il n'y ai pas un maxi mega warning sur tous ces problèmes de sécurité et que les tutos des formulaires d'utilisation des bases de données ne prennent pas en compte ce côté sécurité. Je pense que c'est un choix des éditeurs pour faciliter la compréhension du code. Maintenant, je vais retrousser mes manches pour sécuriser tout ça. Merci à tous ceux qui ont participé à ce post
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email