Discussion :

[aspkiddy]

Bonjour,

J'ai un formulaire en PHP... Je vais le sécuriser maximum.
Pour empêcher les injections de code malicieux, j'utilise htmlspecialchars : ainsi, les informations remplies dans les champs par les utilisateurs qui contiennent de balises HTML seront sans code HTML actif.
Est-ce que c'est suffisant ? Sinon que je dois faire d'autres ?

Merci et bonne journée
Bonne année

[Benjamin Delespierre]

Sécurise les insertions en base avec htmlspecialchar ou strip_tags et mysql_real_escape_string ou les requêtes préparées.
Sécurise la récupération d'informations avec les filtres http://php.net/manual/fr/book.filter.php
Sécurise la sortie d'information avec les filtres également.

[grunk]

Je pense que c'est plus une question de philosophie mais je suis plus pour échapper les données à l'affichage et pas à l'insertion.
A l'insertion je filtre et protège des injections.

C'est un peu plus gourmand en ressource car on échappe les données pour chaque utilisateur au lieu de le faire une fois à l'insertion, mais du coup c'est une protection "active" qui va échapper même des données ne venant pas de la bdd.

Certain moteur de template ont d'ailleurs par défaut un échappement des données activé.

Il faut également te protéger de ce que l'on appelle les failles CSRF (cross site request forgery ) qui consiste à venir attaquer une partie du site (un formualire dans ton cas) avec un autre site. Voici : http://fr.wikipedia.org/wiki/Cross-site_request_forgery pour plus de détail

[aspkiddy]

Bonjour,

Je pense que j'ai terminé ainsi l"étape 1
Une fois que mon formulaire est sécurisé comme ci-dessus, il faut utiliser un certificat de SSL...
Après il faut aussi protéger contre les attaques les failles CSRF... en utilisant un jeton/token...

(...)
Il faut également te protéger de ce que l'on appelle les failles CSRF (cross site request forgery ) qui consiste à venir attaquer une partie du site (un formualire dans ton cas) avec un autre site. Voici : http://fr.wikipedia.org/wiki/Cross-site_request_forgery pour plus de détail

Par contre, dans mon cas, je me demande si je peux utiliser un jeton puisqu'il s'agit d'un formulaire simple : l'utilisateur arrive au formulaire sans ouvrir une session (donc, l'utilisateur a l'accès au formulaire sans mot de passe)...

[aspkiddy]

Bonjour,

Je pense que j'ai terminé ainsi l"étape 1
Une fois que mon formulaire est sécurisé comme ci-dessus, il faut utiliser un certificat de SSL...
Après il faut aussi protéger contre les attaques les failles CSRF... en utilisant un jeton/token...
Par contre, dans mon cas, je me demande si je peux utiliser un jeton puisqu'il s'agit d'un formulaire simple : l'utilisateur arrive au formulaire sans ouvrir une session (donc, l'utilisateur a l'accès au formulaire sans mot de passe)...

Puisque personne ne répond alors je vais fermer cette discussion et je vais ouvrir un outre sur "jeton/token"

Merci pour vos participations... c'était très utile pour moi

[aspkiddy]

Bonjour Benjamin Delespierre, amoiraud, RunCodePhp et grunk,

Je vais appliquer vos conseils étape par étape dans un formulaire fictif...
Alors, voici la 1re serrure (1re étape) avec htmlspecialchars :

Sécurise les insertions en base avec htmlspecialchar ou strip_tags et mysql_real_escape_string ou les requêtes préparées.
Sécurise la récupération d'informations avec les filtres http://php.net/manual/fr/book.filter.php
Sécurise la sortie d'information avec les filtres également.

dans mon formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<form method="post" action="engregistrement.php">
<input name="prenom" type="text" id="prenom" />
</form>

dans mon 2e fichier (engregistrement.php)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
include"bd_db/connec.php";
include"select.php";
 
$prenom=$_POST["prenom"];
 
//  Pour traiter les accents et suprimer les code html :
 
$prenom= htmlspecialchars($prenom, ENT_QUOTES);
 
 
$query = "INSERT INTO $table_db (colone_prenom)";
$query .= "VALUES (''$prenom')";
 
$result = mysql_query($var_query, $cnx) or die (mysql_error());
 
?>

L'utilisateur entre, par exemple [<strong>toto] comme prénom
alors avec le code ci-dessus, j'obtiens l'enregistrement dans mon bd*: [&lt;strong&gt;toto]
et je peux visionner cet enregistrement dans un autre fichier PPP (dans le code ci-dessous) comme cela*: (dans le code source : [&lt;strong&gt;toto] et l'affichage (interprétation de navigateur) : [<strong>toto]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
include"bd_db/connec.php";
include"select.php";
 
$req=  " select colone_prenom FROM $table_db  ";
$rep =  mysql_query($req, $cnx) or die( mysql_error() ) ;
while($row=mysql_fetch_row($rep)){
$prenom_engregistre=$row[0];
echo "$prenom_engregistre" ;
echo "\n";
echo " ; ";}
?>

Est-ce que cette procédure est correcte avec htmlspecialchars AU PREMIERE ÉTAPE?
Est-ce que cette procédure par htmlspecialchars est suffisante au niveau de sécurité AU PREMIERE ÉTAPE?

[Benjamin Delespierre]

Mes commentaire dans le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
// bd db ? généralement fait /config/db/connection.php mais bon
include "bd_db/connec.php";
 
// kézako ?
include "select.php";
 
// Utiliser filter_input à la place
$prenom=$_POST["prenom"];
 
// strip_slashes + strip_tags + mysql_real_escape_string c'est mieux
$prenom= htmlspecialchars($prenom, ENT_QUOTES);
 
// Aucune sécurité contre les injections
$query = "INSERT INTO $table_db (colone_prenom)";
$query .= "VALUES (''$prenom')";
 
// or die en DEV mais JAMAIS EN PROD et surtout pas avec l'erreur MySQL retournée 
$result = mysql_query($var_query, $cnx) or die (mysql_error());

Est-ce que cette procédure est correcte avec htmlspecialchars AU PREMIERE ÉTAPE?
Est-ce que cette procédure par htmlspecialchars est suffisante au niveau de sécurité AU PREMIERE ÉTAPE?

Elle est correcte en ce sens qu'elle fait son job, en revanche, elle est clairement insécurisée.

[aspkiddy]

Bonjour Benjamin,

Super merci pour tes commentaire...

Mes commentaire dans le code....)
(...) en revanche, elle est clairement insécurisée.

voila je suis au 2e étape :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
//connection au serveur
include"/config/db/connection.php";
	//sélection de la base de données et table
include"/config/db/selection.php";
 
// Utiliser filter_input à la place
								//$prenom=$_POST["prenom"];
$prenom = filter_input(INPUT_POST, 'prenom', FILTER_SANITIZE_STRING); //// voir les filtres http://www.php.net/manual/fr/filter.filters.php [Filtres de nettoyage]
 
// strip_slashes + strip_tags + mysql_real_escape_string c'est mieux
								//$prenom= htmlspecialchars($prenom, ENT_QUOTES);//  Pour traiter les accents et suprimer les code html :
$prenom= stripslashes($prenom); //Supprime les antislashs d'une chaîne et aussi les balises (exemple <strong>)
$prenom = strip_tags($prenom); // Supprime les balises (code)
 
$prenom = mysql_real_escape_string($prenom); //évite les injections SQL en protègeant les caractères spéciaux d'une commande SQL
 
$query = "INSERT INTO $table_db (colone_prenom)";
$query .= "VALUES ('$prenom')";
 
$result = mysql_query($query, $cnx) or die (mysql_error());
 
?>

Est-ce que cette procédure est correcte et suffisante AU 2. ÉTAPE?

[aspkiddy]

Je ne comprends plus stealth35

Voici mon code d'enregistrement de donnés dans la BDD que j'ai fait selon vos (toi et les autres experts) commentaires... Est ce que ce n'est pas correct ?

Bonjour Benjamin,

Super merci pour tes commentaire...


voila je suis au 2e étape :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
//connection au serveur
include"/config/db/connection.php";
	//sélection de la base de données et table
include"/config/db/selection.php";
 
// Utiliser filter_input à la place
								//$prenom=$_POST["prenom"];
$prenom = filter_input(INPUT_POST, 'prenom', FILTER_SANITIZE_STRING); //// voir les filtres http://www.php.net/manual/fr/filter.filters.php [Filtres de nettoyage]
 
// strip_slashes + strip_tags + mysql_real_escape_string c'est mieux
								//$prenom= htmlspecialchars($prenom, ENT_QUOTES);//  Pour traiter les accents et suprimer les code html :
$prenom= stripslashes($prenom); //Supprime les antislashs d'une chaîne et aussi les balises (exemple <strong>)
$prenom = strip_tags($prenom); // Supprime les balises (code)
 
$prenom = mysql_real_escape_string($prenom); //évite les injections SQL en protègeant les caractères spéciaux d'une commande SQL
 
$query = "INSERT INTO $table_db (colone_prenom)";
$query .= "VALUES ('$prenom')";
 
$result = mysql_query($query, $cnx) or die (mysql_error());
 
?>

Est-ce que cette procédure est correcte et suffisante AU 2. ÉTAPE?

Il ne faut pas faire de stripslashes ? ni de strip_tags ? ni filter_input ?

[rawsrc]

Bonsoir,

Sécurise les insertions en base avec htmlspecialchar ou strip_tags et mysql_real_escape_string ou les requêtes préparées.

Je pense que c'est plus une question de philosophie mais je suis plus pour échapper les données à l'affichage et pas à l'insertion.
A l'insertion je filtre et protège des injections.

Je pencherai très clairement du côté de grunk. Pour la bonne raison que les données peuvent très bien être exploitées par d'autres programmes totalement étrangers au monde web et/ou PHP. J'ai eu une très mauvaise expérience sur un développement avec des données qui avaient été échappées ainsi à l'insertion (tout avait été échappé avec htmlentities()). Je déconseille donc fortement de mélanger de la présentation avec des données brutes. Une donnée brute doit rester brute, après c'est au développeur de bien saisir le sens qu'elle prendra dans un environnement donné et c'est encore à lui de s'en prémunir si nécessaire. Comme disait ma grand-mère, il n'est jamais bon de mélanger des torchons et des serviettes. Merci mémé...

[ABCIWEB]

Attention quand même de n'utiliser strip_tags qu'en connaissance de cause car cela limite les possibilités d'expression dans le formulaire (on ne pourra pas par exemple donner des exemples de code html ou php puisque les balises seront supprimées).

Comme grunk je déconseille l'utilisation de htmlspecialchars pour l'enregistrement en Bdd car sans parler de philosophie il y a des inconvénients pratiques : alourdi les tables avec des caractères inutiles et rend les données moins propres en cas d'exportation des tables sans traitement complémentaire.
Ces inconvénients sont relativement limités avec htmlspecialchars. Le pire serait d'utiliser htmlentities car en plus d'accroitre considérablement les inconvénients ci-dessus, cela rendrait impossible des recherches insensibles aux caractères accentués (je veux dire qu'une recherche sur 'a' ne pourrait jamais trouver 'à').

Je réserve donc pour ma part ces fonctions uniquement pour l'affichage.

EDIT : A bah tiens, le temps de poster je vois que rawsrc a déjà développé à peu près les mêmes arguments

[Benjamin Delespierre]

Gaffe quand même, on a vite fait d'oublier d’échapper les données en sortie, c'est pour ça que je les nettoies toujours en entrée.

[amoiraud]

Salut,

Tu peut également utiliser mysql_real_escape_string pour éviter les injections SQL

[RunCodePhp]

Salut

Tout dépend du degré que tu souhaite obtenir, mais comme tu parles de "maximum", ne pas oublier le SSL (https).

Faire en sorte de générer un contenu HTML sécurisé c'est une chose, mais sans SSL les données transiteront "en clairs", donc elles peuvent toujours être interceptées voire modifiées en cours de route.