Discussion :

[Tmex]

Voila je souhaite développé un site sur internet. Je me pausais quelques questions liés aux enregistrements d'informations dans les bases de données en Mysql.

Je developpe principalement en PHP et donc Mysql pour les bases (mais surtout en applicatif, je me suis jamais posé la question de sécurité...).
Mes questions sont les suivantes :

J'ai un formulaire d'inscription avec les champs nom, prénom, login mot de passe e-mail etc.

Dans un 1er temps je m'arrange pour encoder le mot de passe en md5 en javascript. Puis soumission du formulaire en méthode POST vers un script php qui va parser les champs. J'emploi le "mysql_real_escape_string($champ)" est ce suffisant pour eviter des injections SQL ou dois-je employé encore

* addslashes()
* trim()
* htmlspecialchars()

De plus dois-je créer différents utilisateur avec différents privilèges ?

Par exemple pour une connection à un compte seule l'action SELECT est nécessaire et donc j'ai créer un utilisateur nommé "connection" avec comme seul Privilèges globaux de données SELECT

Pour la création du compte un utilisateur "creationcompte" avec comme seul Privilèges globaux de données INSERT.


Est ce un bon raisonnement ?

Merci d'avance pour vos réponses...

[vg33]

mysql_real_escape_string() suffit pour les injections sql.
En revanche, tu dois passer par htmlentities() avant affichage pour contrer les attaques XSS.
Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.

[Tmex]

Si ton code est propre, tu n'as normalement pas besoin de différents utilisateurs pour ta bdd. Mais c'est une précaution supplémentaire, à condition de vérifier que tu as bien le bon utilisateur connecté pour faire une requête.

Disont que j'ai une page inscription qui envera sur un script php
de se script la j'utiliserais l'utilisateur 'connection' pour n'importe quel utilisateur souhaitant se connecté a son compte

et sur ma page inscription j'emploierais l'utilisateur 'creationcompte' pour une personne souhaitant se créer un compte sur le site.

Cela équivaux a un profil de connection en fonction des actions que mes pages utilisent. (J'éspère être compréhenssif ... )

Merci pour ta réponse.

[Tmex]

Petit up ...

[vg33]

Ca me semble très correct... Et après tout, autant avoir une application la plus sécurisée possible.
Cependant, si tu as des utilisateurs qui font de nombreuses requêtes différentes dans le même script, attention à ne pas te mélanger les pinceaux dans les connexions.

[Tmex]

Merci vg33