IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Sécurisé contre les injections SQL ?


Sujet :

Langage PHP

  1. #1
    Membre averti
    Inscrit en
    Août 2012
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : Août 2012
    Messages : 44
    Par défaut Sécurisé contre les injections SQL ?
    Bonjour,

    Je crois, sans l'avoir fait exprès, avoir trouvé un moyen de sécuriser au maximum mon site contre des injections SQL.
    Je suis novice et je cherche donc à savoir si cela me protège réellement. Je sais qu'il y a plus facile mais je souhaite fonctionner avec l'appel d'includes donc voici le principe de fonctionnement :

    1) Je dote mon url d'un paramètre numérique : ?mapage=2
    Ce "2" va servir à créer le code d'un include et donner ainsi <?php include('mapage-2.php'); ?>

    2) "mapage-2.php" débarque alors avec une requête mysql personnalisée et toute prête
    (sans variable, elle, donc) pour lire des données sur ma base.

    3) Ainsi, la seule partie variable a un effet sur l'include, ce qui ne touche pas à la base donc puisqu'au pire, l'include ne s'affiche pas si la personne tente de faire une injection.

    Qu'en pensez-vous ?

    Je sais qu'il y a plus simple (avec "prepare" notamment) mais est-ce que ce canal, aussi bancal soit-il d'un point de vue organisationnel, permet de se protéger contre des injections ?

    Merci d'avance à cette communauté.
    En espérant pouvoir apporter mon lot d'aide dès que j'aurai un meilleur niveau.

  2. #2
    Rédacteur

    Avatar de Bovino
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2008
    Messages
    23 647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2008
    Messages : 23 647
    Billets dans le blog
    20
    Par défaut
    Je vois pas trop l'intérêt de ta démarche...
    Une injection SQL n'est possible que si tu enregistres dans la BDD des données utilisateurs (champs de formulaires notamment), or ça ne semble pas être le cas dans ce que tu nous expliques... Donc il n'y a logiquement pas de risques...
    En revanche, si dans mapage-2.php tu insères en base des données utilisateurs, alors ton truc ne sert à rien...
    Pas de question technique par MP !
    Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi !
    Mes formations video2brain : La formation complète sur JavaScriptJavaScript et le DOM par la pratiquePHP 5 et MySQL : les fondamentaux
    Mon livre sur jQuery
    Module Firefox / Chrome d'intégration de JSFiddle et CodePen sur le forum

  3. #3
    Membre averti
    Inscrit en
    Août 2012
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : Août 2012
    Messages : 44
    Par défaut
    Salut

    Non, non, mapage n'enregistre pas.

    Effectivement, sans écriture, pas d'injection

    Ma démarche n'est pas liée à une quelconque injection, par contre, c'est une question qui tombe au milieu d'une autre problématique.

    Désolé pour ce sujet poubelle..
    Merci à toi.

  4. #4
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut
    A partir du moment ou tu utilises des requêtes sans entrée utilisateur , forcément y'aura pas d'injection

    Après effectivement c'est bancale et pas forcément très utile.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  5. #5
    Membre averti
    Inscrit en
    Août 2012
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : Août 2012
    Messages : 44
    Par défaut
    Citation Envoyé par grunk Voir le message

    Après effectivement c'est bancale et pas forcément très utile.
    Si, ça l'est beaucoup quand on a un niveau faible car cela permet d'éviter moultes variables et liaisons et jointures avec la table.

    Mais forcément, pour un mec qui gère, cela doit paraître bizarre, j'en conviens

  6. #6
    Membre éclairé Avatar de shell13010
    Homme Profil pro
    Étudiant
    Inscrit en
    Mars 2008
    Messages
    281
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Distribution

    Informations forums :
    Inscription : Mars 2008
    Messages : 281
    Par défaut
    Certe ton niveau peu être faible..

    mais je pense pas que se soit la meilleur façon de procéder pour avancé

  7. #7
    Membre averti
    Inscrit en
    Août 2012
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : Août 2012
    Messages : 44
    Par défaut
    C'est clair, disons que je suis pressé par le temps et que je compte faire les choses autrement par la suite.
    Mais tu as raison, cela n'aide pas mon niveau.

  8. #8
    Membre Expert
    Homme Profil pro
    Inscrit en
    Septembre 2009
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : Septembre 2009
    Messages : 875
    Par défaut
    si tu veux juste limiter le fait qu'avec une url une personne peut essayer de 'sonder' ton répertoire page par exemple, je pense que le mieux est d'utiliser un switch ou des elseif comme un controlleur.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
     
    If (ma page=1){
      include mespages/mapageAcceuil.php
    }elseif(mapage=2){
      include mespages/mapageContact.php
    }else{
      include mapage404.php
    }
    ca évite que l'utilisateur essaye de parcourir tes répértoires, vu que tu controles l'entrée utilisateur (url). enfin c'est ce que j'ai cru comprendre de ta définition "d'injection sql"

  9. #9
    Expert confirmé
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    Mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 142
    Billets dans le blog
    12
    Par défaut
    Salut,

    pour éviter le sondage, le plus simple c'est de router toutes les requêtes vers l'index du site et de les analyser à partir de cet unique point d'entrée.
    Attention, tu va découvrir un monde nouveau...
    Allez comme dirait l'autre yapuka !

  10. #10
    Membre Expert Avatar de Djakisback
    Profil pro
    Inscrit en
    Février 2005
    Messages
    2 023
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2005
    Messages : 2 023
    Par défaut
    Citation Envoyé par Bovino Voir le message
    Une injection SQL n'est possible que si tu enregistres dans la BDD des données utilisateurs (champs de formulaires notamment), or ça ne semble pas être le cas dans ce que tu nous expliques... Donc il n'y a logiquement pas de risques...
    Salut, cette remarque est fausse à moins que je ne l'aie pas comprise
    L'injection ne consiste pas à injecter des données dans une BDD mais à injecter des données dans une requête SQL pour la modifier.
    Il vaudrait mieux dire : "Une injection SQL n'est possible que si tu utilises des données utilisateur pour construire une requête"

    Pour la question de base, comme le dit grunk, aucune injection sans entrée utilisateur (ou plutôt extérieure, ex : une injection SQL depuis sa propre BDD ou un fichier quelconque du serveur, etc.), donc la solution proposée semble inutile (et peut même inclure un trou de sécurité supplémentaire si 'mapage' n'est pas bien vérifiée).

Discussions similaires

  1. [MySQL] se protéger contre les injections sql
    Par keusty78 dans le forum PHP & Base de données
    Réponses: 25
    Dernier message: 23/09/2009, 15h01
  2. Sécurité contre les injections SQL
    Par Generation-Web dans le forum Langage
    Réponses: 2
    Dernier message: 27/11/2008, 14h17
  3. Prévention contre les injections SQL
    Par Community Management dans le forum ASP
    Réponses: 0
    Dernier message: 29/07/2008, 12h50
  4. Lutter contre les injections SQL
    Par EvilAngel dans le forum ASP
    Réponses: 4
    Dernier message: 15/06/2006, 17h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo