Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre à l'essai
    [SGBD] Les précautions lors d'envoi de données vers une bdd mysql
    Voila je souhaite développé un site sur internet. Je me pausais quelques questions liés aux enregistrements d'informations dans les bases de données en Mysql.

    Je developpe principalement en PHP et donc Mysql pour les bases (mais surtout en applicatif, je me suis jamais posé la question de sécurité...).
    Mes questions sont les suivantes :

    J'ai un formulaire d'inscription avec les champs nom, prénom, login mot de passe e-mail etc.

    Dans un 1er temps je m'arrange pour encoder le mot de passe en md5 en javascript. Puis soumission du formulaire en méthode POST vers un script php qui va parser les champs. J'emploi le "mysql_real_escape_string($champ)" est ce suffisant pour eviter des injections SQL ou dois-je employé encore

    * addslashes()
    * trim()
    * htmlspecialchars()

    De plus dois-je créer différents utilisateur avec différents privilèges ?

    Par exemple pour une connection à un compte seule l'action SELECT est nécessaire et donc j'ai créer un utilisateur nommé "connection" avec comme seul Privilèges globaux de données SELECT

    Pour la création du compte un utilisateur "creationcompte" avec comme seul Privilèges globaux de données INSERT.


    Est ce un bon raisonnement ?

    Merci d'avance pour vos réponses...

  2. #2
    Membre expérimenté
    mysql_real_escape_string() suffit pour les injections sql.
    En revanche, tu dois passer par htmlentities() avant affichage pour contrer les attaques XSS.
    Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.

  3. #3
    Membre à l'essai
    Citation Envoyé par vg33

    Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.
    Disont que j'ai une page inscription qui envera sur un script php
    de se script la j'utiliserais l'utilisateur 'connection' pour n'importe quel utilisateur souhaitant se connecté a son compte

    et sur ma page inscription j'emploierais l'utilisateur 'creationcompte' pour une personne souhaitant se créer un compte sur le site.

    Cela équivaux a un profil de connection en fonction des actions que mes pages utilisent. (J'éspère être compréhenssif ... )

    Merci pour ta réponse.

  4. #4
    Membre à l'essai
    Petit up ...

  5. #5
    Membre expérimenté
    Ca me semble très correct... Et après tout, autant avoir une application la plus sécurisée possible.
    Cependant, si tu as des utilisateurs qui font de nombreuses requêtes différentes dans le même script, attention à ne pas te mélanger les pinceaux dans les connexions.

  6. #6
    Membre à l'essai
    Merci vg33

###raw>template_hook.ano_emploi###