Discussion :

[has_been]

Bonsoir

Je m'exerce à Python, je trouve ce langage vraiment intéressant et accessible.
Je me demandais malgré tout si Python est recommandé pour un usage professionnel, avec accès à une BDD !
Je m'explique.

Dans tous les forums sur lesquels je suis tombé, il apparait que le code ne peut véritablement être offusqué.
Toutes les requêtes SQL seront visibles voire modifiables par l'utilisateur qui s'y connait un peu.

J'imagine même que, quelqu'un de mal attentionné, pourrait même avoir accès à la BDD sans effort en modifiant la requete de connection, du genre en rajoutant un (OR 1=1):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
SELECT nom, pw
FROM table_connection
WHERE user ="+user+" AND pw ="+psswrd+"
OR 1 =1 

Dans ce cadre là, il y a un problème de sécurité!
Python est-il recommandé pour ce genre d'application ?
Quel est votre avis ?

Has_been

[has_been]

Pour éviter la visibilité du SQL au sein des scripts Python, doit-on se connecter via un serveur web+parser(genre php), qui lui même accède aux serveur de base de données ?

Qel est votre avis?

Merci

[oiffrig]

C'est le même problème dans n'importe quel langage, on peut désassembler du C par exemple, surtout s'il s'agit simplement de modifier une chaîne de caractères...
Ce faux problème en cache un autre : des permissions mal adaptées pour l'utilisateur
Soit tu donnes les droits uniquement sur des tables ne contenant pas de données sensibles, en lecture seule si possible, soit tu passes par une interface sur le serveur (script Python, CGI, page PHP, ...)

[has_been]

Merci de ta réponse.

Qu'entends-tu par "script Python" ?
Pardonne mon ignorance...je proviens du monde web.

[oiffrig]

Avec un serveur comprenant le Python (par interface Web: mod_python, Django, ... ou bien par un autre protocole), tu peux faire tourner des scripts Python comme tu ferais par exemple tourner une page PHP sur un serveur Web.

[has_been]

merci