Discussion :

[PMulE]

Bonjour,

Je crois, sans l'avoir fait exprès, avoir trouvé un moyen de sécuriser au maximum mon site contre des injections SQL.
Je suis novice et je cherche donc à savoir si cela me protège réellement. Je sais qu'il y a plus facile mais je souhaite fonctionner avec l'appel d'includes donc voici le principe de fonctionnement :

1) Je dote mon url d'un paramètre numérique : ?mapage=2
Ce "2" va servir à créer le code d'un include et donner ainsi <?php include('mapage-2.php'); ?>

2) "mapage-2.php" débarque alors avec une requête mysql personnalisée et toute prête
(sans variable, elle, donc) pour lire des données sur ma base.

3) Ainsi, la seule partie variable a un effet sur l'include, ce qui ne touche pas à la base donc puisqu'au pire, l'include ne s'affiche pas si la personne tente de faire une injection.

Qu'en pensez-vous ?

Je sais qu'il y a plus simple (avec "prepare" notamment) mais est-ce que ce canal, aussi bancal soit-il d'un point de vue organisationnel, permet de se protéger contre des injections ?

Merci d'avance à cette communauté.
En espérant pouvoir apporter mon lot d'aide dès que j'aurai un meilleur niveau.

[Bovino]

Je vois pas trop l'intérêt de ta démarche...
Une injection SQL n'est possible que si tu enregistres dans la BDD des données utilisateurs (champs de formulaires notamment), or ça ne semble pas être le cas dans ce que tu nous expliques... Donc il n'y a logiquement pas de risques...
En revanche, si dans mapage-2.php tu insères en base des données utilisateurs, alors ton truc ne sert à rien...

[PMulE]

Salut

Non, non, mapage n'enregistre pas.

Effectivement, sans écriture, pas d'injection

Ma démarche n'est pas liée à une quelconque injection, par contre, c'est une question qui tombe au milieu d'une autre problématique.

Désolé pour ce sujet poubelle..
Merci à toi.

[grunk]

A partir du moment ou tu utilises des requêtes sans entrée utilisateur , forcément y'aura pas d'injection

Après effectivement c'est bancale et pas forcément très utile.

[PMulE]

Après effectivement c'est bancale et pas forcément très utile.

Si, ça l'est beaucoup quand on a un niveau faible car cela permet d'éviter moultes variables et liaisons et jointures avec la table.

Mais forcément, pour un mec qui gère, cela doit paraître bizarre, j'en conviens

[shell13010]

Certe ton niveau peu être faible..

mais je pense pas que se soit la meilleur façon de procéder pour avancé

[PMulE]

C'est clair, disons que je suis pressé par le temps et que je compte faire les choses autrement par la suite.
Mais tu as raison, cela n'aide pas mon niveau.

[gototog]

si tu veux juste limiter le fait qu'avec une url une personne peut essayer de 'sonder' ton répertoire page par exemple, je pense que le mieux est d'utiliser un switch ou des elseif comme un controlleur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
If (ma page=1){
  include mespages/mapageAcceuil.php
}elseif(mapage=2){
  include mespages/mapageContact.php
}else{
  include mapage404.php
}

ca évite que l'utilisateur essaye de parcourir tes répértoires, vu que tu controles l'entrée utilisateur (url). enfin c'est ce que j'ai cru comprendre de ta définition "d'injection sql"

[rawsrc]

Salut,

pour éviter le sondage, le plus simple c'est de router toutes les requêtes vers l'index du site et de les analyser à partir de cet unique point d'entrée.
Attention, tu va découvrir un monde nouveau...
Allez comme dirait l'autre yapuka !

[Djakisback]

Une injection SQL n'est possible que si tu enregistres dans la BDD des données utilisateurs (champs de formulaires notamment), or ça ne semble pas être le cas dans ce que tu nous expliques... Donc il n'y a logiquement pas de risques...

Salut, cette remarque est fausse à moins que je ne l'aie pas comprise
L'injection ne consiste pas à injecter des données dans une BDD mais à injecter des données dans une requête SQL pour la modifier.
Il vaudrait mieux dire : "Une injection SQL n'est possible que si tu utilises des données utilisateur pour construire une requête"

Pour la question de base, comme le dit grunk, aucune injection sans entrée utilisateur (ou plutôt extérieure, ex : une injection SQL depuis sa propre BDD ou un fichier quelconque du serveur, etc.), donc la solution proposée semble inutile (et peut même inclure un trou de sécurité supplémentaire si 'mapage' n'est pas bien vérifiée).