Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2006
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 20
    Points : 13
    Points
    13
    Par défaut [SGBD] Les précautions lors d'envoi de données vers une bdd mysql
    Voila je souhaite développé un site sur internet. Je me pausais quelques questions liés aux enregistrements d'informations dans les bases de données en Mysql.

    Je developpe principalement en PHP et donc Mysql pour les bases (mais surtout en applicatif, je me suis jamais posé la question de sécurité...).
    Mes questions sont les suivantes :

    J'ai un formulaire d'inscription avec les champs nom, prénom, login mot de passe e-mail etc.

    Dans un 1er temps je m'arrange pour encoder le mot de passe en md5 en javascript. Puis soumission du formulaire en méthode POST vers un script php qui va parser les champs. J'emploi le "mysql_real_escape_string($champ)" est ce suffisant pour eviter des injections SQL ou dois-je employé encore

    * addslashes()
    * trim()
    * htmlspecialchars()

    De plus dois-je créer différents utilisateur avec différents privilèges ?

    Par exemple pour une connection à un compte seule l'action SELECT est nécessaire et donc j'ai créer un utilisateur nommé "connection" avec comme seul Privilèges globaux de données SELECT

    Pour la création du compte un utilisateur "creationcompte" avec comme seul Privilèges globaux de données INSERT.


    Est ce un bon raisonnement ?

    Merci d'avance pour vos réponses...

  2. #2
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2005
    Messages
    1 278
    Détails du profil
    Informations personnelles :
    Localisation : France, Gironde (Aquitaine)

    Informations forums :
    Inscription : janvier 2005
    Messages : 1 278
    Points : 1 640
    Points
    1 640
    Par défaut
    mysql_real_escape_string() suffit pour les injections sql.
    En revanche, tu dois passer par htmlentities() avant affichage pour contrer les attaques XSS.
    Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2006
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 20
    Points : 13
    Points
    13
    Par défaut
    Citation Envoyé par vg33
    Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.
    Disont que j'ai une page inscription qui envera sur un script php
    de se script la j'utiliserais l'utilisateur 'connection' pour n'importe quel utilisateur souhaitant se connecté a son compte

    et sur ma page inscription j'emploierais l'utilisateur 'creationcompte' pour une personne souhaitant se créer un compte sur le site.

    Cela équivaux a un profil de connection en fonction des actions que mes pages utilisent. (J'éspère être compréhenssif ... )

    Merci pour ta réponse.

  4. #4
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2006
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 20
    Points : 13
    Points
    13
    Par défaut
    Petit up ...

  5. #5
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2005
    Messages
    1 278
    Détails du profil
    Informations personnelles :
    Localisation : France, Gironde (Aquitaine)

    Informations forums :
    Inscription : janvier 2005
    Messages : 1 278
    Points : 1 640
    Points
    1 640
    Par défaut
    Ca me semble très correct... Et après tout, autant avoir une application la plus sécurisée possible.
    Cependant, si tu as des utilisateurs qui font de nombreuses requêtes différentes dans le même script, attention à ne pas te mélanger les pinceaux dans les connexions.

  6. #6
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2006
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 20
    Points : 13
    Points
    13
    Par défaut
    Merci vg33

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 18
    Dernier message: 26/06/2008, 11h10
  2. erreur lors d'envoi de données excel vers word
    Par pael013 dans le forum Macros et VBA Excel
    Réponses: 15
    Dernier message: 15/05/2008, 15h23
  3. Envoi de données d'un formulaire à une BDD
    Par Cédric22 dans le forum Langage
    Réponses: 3
    Dernier message: 24/01/2008, 11h58
  4. Probleme d'envoi de courriels a partir d'une bdd MySQL
    Par Chimere dans le forum Requêtes
    Réponses: 2
    Dernier message: 06/06/2006, 14h47
  5. L'envoi d'un sms depuis un téléphone portable vers une BDD
    Par mayna dans le forum Développement
    Réponses: 2
    Dernier message: 10/02/2006, 21h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo