Discussion :

[Invité]

Bonjour à tous,

Je suis en tain de développer mon site web. J'aurais besoin de vos conseils, vos avis au niveau de la sécurité avec php sur le fait d'éviter des attaques par injections dans l'adresse url de son site web.

Par exemple: si mon adresse url de ma page est http://www.monsite.com/devpur.php?nom=titreDeMonArticle

Si l'internaute change la variable nom et envoie la requête, si cette nouvelle existe dans la base de donnée, elle affiche la page. Sinon renvoyé une erreur.

J'avais dans la tête de passé par la variable globale $_REQUEST puis effectué une reqête sql. Selon vous est-ce bien sécurisable ou bien mettre autre chose ?

[gene69]

le mécanisme que tu décris est utilisé partout. Si tu as quelque chose spécifique il faut donner plus de détail et si tu veux qu'on audite, ... c'est plus compliqué.

En fait il faut surtout étudier le risque d'injection sql si tu n'utilises pas filter_var() ... mais si tes entrées sont étagées et validées correctement ya pas de raison...

edit: c'est un peu bête de mettre le titre comme clé à la place d'un ID, le top étant de mettre les deux et de n'utiliser que l'ID. Le titre peut changer (coquille... ) l'id non. Mais bon pour faire un blog, ya dotclear.

[franck31]

Déjà pourquoi utiliser _REQUEST ensuite oui tu peux contrôler ce que contient ton _GET nom avant une requête.

[gene69]

je suis pas d'accord. $_REQUEST permet d'avoir une compatibilité avec un éventuel formulaire qui te fait du post ou du get... il est trop peut utilisé ... mais bon faut savoir s'en servir.

[Invité]

Pour faire simple, comment puis sécuriser totalement mon site web afin d'éviter des mauvaises surprises dans ma base de données?

Quelles sont les solutions que vous pouvez me proposer ?

[franck31]

Déjà ton article est enregistré en bdd surement et donc contient un id et dans ces cas la tu vérifi que ta variable nom soit un (int).

[rawsrc]

Salut,

BSi l'internaute change la variable nom et envoie la requête, si cette nouvelle existe dans la base de donnée, elle affiche la page. Sinon renvoyé une erreur.

C'est le boulot d'un contrôleur ça.

Pour éviter tout problème en lien avec les données manipulées, tu dois échapper les caractères selon leur contexte d'utilisation :
- url : rawurlencode(),
- vue : htmlspecialchars() ou htmlentities()
- base de données : mécanisme PDO ou mysqli_real_escape_string()

[Invité]

Pour la base de données, j'utilise PDO. Par contre je fais mon site sans le côté poo

[ABCIWEB]

rawsrc a synthétisé l'essentiel. Si tu veux plus de détails tu peux faire des recherches avec "owasp" dans un moteur de recherche.