Discussion :

[nicohell]

Bonjour

J'ai développé une application spécifique de publipostage en mode Web avec beaucoup de JavaScript pour la rendre plus dynamique et fluide (Rafraichissement des listes, mises a jour des informations, etc...)

Par contre je m’aperçois (une fois terminé, j'ai été bon là ! ) que nombre d'appel xmlHttpRequest se retrouvent disponibles dans les scripts JS et rendent donc le tout très vulnérable.

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
id = document.getElementById('idCont').value;
nom = document.getElementById('nom').value;
...
 
texte = this.file('lib/gestContact.php?id='+id+'&nom='+escape(nom)+'&addr='+escape(addr)+'&codePostal='+escape(codePostal)+'&ville='+escape(ville)+'&email='+email);

Ou "this.file" est une function JS faisant le xmlHttpRequest et "lib/gestContZSC.php" va lancer une requête dans la base mySQL.

Franchement j'ai un peu honte et je pense que j'ai du rater quelque chose...

Merci de votre aide.

[Bovino]

Et la question, c'est quoi ?

Pour rappel, les seules vérifications valables par rapport aux données sont celles faites côté serveur, en PHP.
Donc à priori, si ces vérifications sont correctement effectuées, il n'y a pas de raison que le fait de "voir" les requêtes pose des problèmes de sécurité.

[nicohell]

Ben la question c'est comment faire pour que les scripts PHP et leur variables n'apparaissent pas en dur dans le JS sinon n'importe qui peut manipuler la DB dans la barre d'adresse :

Si mon script JS affiche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

this.file('lib/gestContact.php?id='+id+'&nom='+escape(nom)+'&addr='+escape(addr)+'&codePostal='+escape(codePostal)+'&ville='+escape(ville)+'&email='+email);

Il suffit de saisir : "http//monJouliSiteWeb/lib/gestContact.php?id=&nom=BLOUBLOU&addr=PASloin&codePostal=99999&ville=ACOTE&email=grosminet@titi.fr"

pour que BLOUBLOU habitant rue de PASloin 9999 a ACOTE se retrouve dans la DB.

Pas trop secure en fait.

[Watilin]

Nicohell, tu as bien choisi ton pseudo !

Plus sérieusement, si ta requête SQL est juste un SELECT il n'y a pas de problème. À moins que les données délivrées soient confidentielles. Dans ce cas, tu pourrais (si tu ne le fais pas déjà) utiliser un mécanisme d'authentification ; les requêtes XMLHttpRequest envoient les mêmes cookies qu'une requête normale.

Bien sûr, les cookies aussi posent des problèmes de sécurité, mais ça peut être un risque acceptable, suivant le niveau de sécurité que tu souhaites. Et avec une authentification HTTPS, ce risque disparaît.

[Pymento]

Il suffit de saisir : "http//monJouliSiteWeb/lib/gestContact.php?id=&nom=BLOUBLOU&addr=PASloin&codePostal=99999&ville=ACOTE&email=grosminet@titi.fr"

pour que BLOUBLOU habitant rue de PASloin 9999 a ACOTE se retrouve dans la DB.

Pas trop secure en fait.

Tu as sans doute des zones d'ombres au niveau des concepts technologiques à la base.
Comme Bovino a dit, si tu fais tes checks coté serveur (dans le php donc) il n'y a aucune raison qu'il y ai une faille à ce niveau là.(Que tu fasse un Select, un Update ou même un DROP DATABASE.)
Tu dois donc te concentrer sur la sécurité coté serveur (expressions régulières,valeurs acceptés, variables de sessions, cookies, mots de passe mais la ça sera sur un autre post)

[Bovino]

Il suffit de saisir : "http//monJouliSiteWeb/lib/gestContact.php?id=&nom=BLOUBLOU&addr=PASloin&codePostal=99999&ville=ACOTE&email=grosminet@titi.fr" pour que BLOUBLOU habitant rue de PASloin 9999 a ACOTE se retrouve dans la DB.

Ben... en même temps, il suffit aussi de remplir le formulaire avec ces valeurs pour que ça soit le cas...