[Sécurité] Traitement préventif ou test de validité ? [Résolu]

php_de_travers · 20/05/2006, 10h30

Bonjour,

pour réaliser un système d'inscription de membres, je propose aux visiteurs de saisir un pseudo, mot de passe, vérif de mot de passe, adresse email.

Ces 4 informations sont traitées par une fonction dès l'envoi du formulaire et AVANT INSERTION dans la BDD, pour vérifier la conformité avec le cahier des charges du site : longueur mini-maxi, email valide ou pas, existence de la dns de l'email, caractère alphanumérique du pseudo et mot de passe.

MA QUESTION :
en fait, puisque je procède à différents tests de validité avant insertion dans la BDD, est-il encore nécessaire d'appliquer un addslashes ou tout autre traitement pour supprimer les codes malicieux en php, javascript... ?

Mr N. · 20/05/2006, 10h50

Oui bien entendu.
La fonction addslashes n'a rien à voir avec un cahier des charges, mais avec la bonne construction de tes requêtes. Pour uniformiser et ne pas avoir à me poser la question pour chaque requête, j'échappe tout le temps les valeurs que je colle dedans.
N'oublie pas que si tu utilises mysql, ce n'est pas addslashes mais mysql_real_escape_string que tu dois faut utiliser.

ePoX · 20/05/2006, 13h17

Citation:

MA QUESTION :
en fait, puisque je procède à différents tests de validité avant insertion dans la BDD, est-il encore nécessaire d'appliquer un addslashes ou tout autre traitement pour supprimer les codes malicieux en php, javascript... ?

TOUJOURS, imagine que tes vérifications contiennent une faille.
Alors que les fonctions serveurs tels que mysql_real_escape_string sont créées par des programmeur qui connaissent parfaitement le sgbd, et de plus ces fonctions sont testées par foisons d'utilisateurs, donc les bugs sont quasi inexistants.

Laisse donc ce travail au SGBD, tu dormiras mieu la nuit

bbye

php_de_travers · 20/05/2006, 14h11

Ok,
merci pour cette aide précieuse.

Je mets donc une ceinture et des bretelles. Au moins je suis sûr que le pantalon ne va pas tomber tout seul.

20/05/2006, 10h30	#1
php_de_travers Membre habitué Inscription : juin 2004 Messages : 460 Détails du profil Informations forums : Inscription : juin 2004 Messages : 460 Points : 144 Points : 144	[Sécurité] Traitement préventif ou test de validité ? Bonjour, pour réaliser un système d'inscription de membres, je propose aux visiteurs de saisir un pseudo, mot de passe, vérif de mot de passe, adresse email. Ces 4 informations sont traitées par une fonction dès l'envoi du formulaire et AVANT INSERTION dans la BDD, pour vérifier la conformité avec le cahier des charges du site : longueur mini-maxi, email valide ou pas, existence de la dns de l'email, caractère alphanumérique du pseudo et mot de passe. MA QUESTION : en fait, puisque je procède à différents tests de validité avant insertion dans la BDD, est-il encore nécessaire d'appliquer un addslashes ou tout autre traitement pour supprimer les codes malicieux en php, javascript... ?
	00

20/05/2006, 10h50	#2
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Oui bien entendu. La fonction addslashes n'a rien à voir avec un cahier des charges, mais avec la bonne construction de tes requêtes. Pour uniformiser et ne pas avoir à me poser la question pour chaque requête, j'échappe tout le temps les valeurs que je colle dedans. N'oublie pas que si tu utilises mysql, ce n'est pas addslashes mais mysql_real_escape_string que tu dois faut utiliser.
	00

20/05/2006, 14h11	#4
php_de_travers Membre habitué Inscription : juin 2004 Messages : 460 Détails du profil Informations forums : Inscription : juin 2004 Messages : 460 Points : 144 Points : 144	Ok, merci pour cette aide précieuse. Je mets donc une ceinture et des bretelles. Au moins je suis sûr que le pantalon ne va pas tomber tout seul.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email