Discussion :

[top16500]

Bonjour,
En cours de développement d'une administration de site en PHP, j'alimente un champ de ma base Mysql avec du code HTML (à la manière d'un CMS) afin que l'utilisateur puisse créer et modifier le contenu des pages du site ... Je sèche sur un problème de sécurité, à savoir comment sécuriser les données de ce champ contre les injections Sql ? En effet, je ne peux utiliser le classique "mysql_real_escape_string" et je dois vous avouer que je suis "à la rue" ... Si quelqu'un pouvait m'apporter une solution, j'en serais ravi ...
Merci d'avance,
Pierre

[aritas]

Comment sécuriser les données de ce champ contre les injections Sql ?

Je te recommande d'utiliser la fonction addslashes. Elle permet de protéger tes requêtes des injections Sql.

Exemple de la cas d'un ajout en base :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO "NomTable" (Champ1, Champ2) VALUES (addslashes($Champ1) , addslashes($Champ2));

[top16500]

Merci pour cette réponse et pour sa rapidité ... Mais je ne suis pas convaincu que cela puisse sécuriser les données ; je n'affirme rien mais je suis dubitatif ... En effet, les données de mon champ se présente comme suit :
<h2>Mon titre</h2>
<p>Mon texte</p>
etc ....
et l'échappement via des antislashs ne doit pas apporter grand chose en cas d'injection de code html/php/javascript ... Je voudrais au moins sécuriser l'injection de code PHP ou Javascript ...
Merci

[amoiraud]

Merci pour cette réponse et pour sa rapidité ... Mais je ne suis pas convaincu que cela puisse sécuriser les données ; je n'affirme rien mais je suis dubitatif ... En effet, les données de mon champ se présente comme suit :
<h2>Mon titre</h2>
<p>Mon texte</p>
etc ....
et l'échappement via des antislashs ne doit pas apporter grand chose en cas d'injection de code html/php/javascript ... Je voudrais au moins sécuriser l'injection de code PHP ou Javascript ...
Merci

Salut,
L'injection SQL et l'injection de code sont 2 choses différentes.
Le plus sûr selon moi pour empêcher l'injection de code est d'utiliser une liste blanche, en gros tu n'acceptes que les balises dont tes utilisateurs peuvent avoir besoin

[Invité]

L'injection SQL et l'injection de code sont 2 choses différentes.

Voici une petite fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// --------------------------------------------------------------
//  FONCTION : PROTECTION contre les failles XSS dans le html des TEXTAREA (EDITEUR WYSIWYG)
// --------------------------------------------------------------
function formatage_from_textarea($chaine) 
{
	$chaine			= stripslashes(trim($chaine));
	// -------------
	// balises qui seront conservées
	// (ajoutez ou supprimez des balises a votre convenance)
	$allowable_tags  = '<abbr><acronym><a><b><br><blockquote><cite><code><dl><dt><dd>';
	$allowable_tags .= '<div><i><img><h1><h2><h3><h4><h5><h6><hr><p><span>';
	$allowable_tags .= '<em><strong><small><pre><u><ul><ol><li>';
	$allowable_tags .= '<table><caption><legend><thead><tfoot><tbody><tr><th><td><colgroup><col>';
	$chaine			= strip_tags($chaine, $allowable_tags);
	// -------------
	return $chaine;
};

Contre les injections SQL, l'utilisation des requêtes préparées (PDO) règle le problème.

[RunCodePhp]

Salut

En effet, je ne peux utiliser le classique "mysql_real_escape_string"

Pour quelles raisons raison ne peux tu pas utiliser cette fonction ?

Si tu utilises les fonctions mysql_*, c'est cette fonction que tu dois utiliser et pas une autre.

Sinon, faut voir comment tu interroge ta Bdd.
Si c'est PDO par exemple, alors comme le précise bien jreaux62, il faut faire une requête préparée, PDO s'occupe du reste.

Je te recommande d'utiliser la fonction addslashes

Non, désolé, ce n'est pas du tout recommandé justement.

Faut lire la doc, c'est expliqué : addslashes()

Il est fortement recommandé d'utiliser les fonctions de protection spécifiques à chaque base de données (telle que mysqli_real_escape_string() pour MySQL et pg_escape_string() pour PostGreSQL)

En somme, c'est su ressort à la Bdd de protéger les données, et du coté du couple Php/MySQL il y a tout ce qu'il faut.
Fonction mysql_* : mysql_real_escape_string()
Fonctions mysqli_* : mysqli_real_escape_string
MySQLi Objet : requête préparée
PDO Objet : requête préparée.


Si les données sont déjà échappées car la directive magic_quote_gpc est activée, il faut supprimer les échappements effectués précédemment pour après utiliser la fonctionnalité propre à sa Bdd, une parmi les 4 vues juste ci-dessus.

[top16500]

D'abord merci à tous pour votre aide et la rapidité de vos réponses ... Je fais étudier cela cet après midi et faire le "tri" par rapport aux spécificités de ma base Mysql ...

Encore merci ...

Pierre