Discussion :

[feelwatt]

Bonjour,

Généralement, je fais cela pour insérer dans une Bd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
  $req = $bdd->prepare('INSERT INTO table SET nom=:nom');
  $req->execute(array('nom' => $_POST['nom']));

Aussi, je me suis amusé à envoyer cela dans un champ du formulaire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript">alert('Boum');</script>

Et bien cela fait bien Boum.
Sauf si on fait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strip_tags($_POST['nom'])

Je pensais qu'une requête de cette sorte filtrait le code avant de l'envoyer dans la Bd.
A moins que ce ne soit pas du tout ce type de requête qui s'appelle 'PDO'.

Merci pour vos éclairages.

[jisig]

Tu te dois de sécuriser tes chaînes de caractères venant des utilisateurs manuellement (sauf avec un framework/librairies qui gère ça pour toi).

un peu d'aide ici : https://secure.php.net/manual/fr/pdo.prepare.php

[feelwatt]

Merci jisig,
Les docs du zéro, sont toujours aussi bien.

Et est-ce que des strip_tags(); sur les POST
peuvent faire l'affaire ?
Ca fonctionne pour

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript">alert('Boum');</script>

[jisig]

https://secure.php.net/manual/fr/fun...strip-tags.php

c'est une fonction qui a pour but de supprimer certains tags, mais pas de sécuriser une chaîne, je pense qu'il sera mieux de lire un tutoriel et/ou doc à ce sujet.

edit : voir aussi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlspecialchars

[Dendrite]

Bonjour FeelWatt...

Je me demande si ton problème ne vient pas plutôt du fait que tu ne fais pas tes requêtes préparées de la bonne façon... Voir manuel :
http://php.net/manual/fr/pdo.prepare.php

Tu fais un mix entre les requêtes préparées avec marqueurs anonymes et avec marqueurs nommés :

1) marqueurs anonymes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 $req = $bdd->prepare('INSERT INTO table SET nom=?');
  $req->execute(array($_POST['nom']));

OU
2) marqueurs nommés

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 $req = $bdd->prepare('INSERT INTO table SET nom=:nom');
  $req->execute(array(':nom'=>$_POST['nom']));

Ca, c'est pour l'insertion en base. Si tu veux bien vérifier que ton expérience de code nuisible tombe à l'eau avec les bonnes syntaxes de requête préparée, je n'ai pas le temps là.
Question aux cracks : faut-il s'interdire de placer directement des $_POST comme il fait, et passer par des variables intermédiaires du genre $toto=$_POST['toto'];, ou bien ça n'est plus un problème avec les requêtes préparées ?

Par ailleurs, quand ensuite, tu réutiliseras tout ce que tu prends de ta base pour des affichages, tu seras bon pour appliquer la fonction htmlspecialchars pour éviter des déconvenues avec des apostrophes ou autres caractères enquiquinants qui feraient bugger ton HTML.
http://php.net/manual/fr/function.htmlspecialchars.php

3) récupération des données en lecture

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
$data=array();
while ($row = $sth->fetch(PDO::FETCH_ASSOC)){
   $data[]=$row;
}
$keys=array_keys($data[0]);
$i=0;
do{
   foreach($keys as $key){
      $data[$i][$key]=htmlspecialchars($data[$i][$key]);
   }
   $i++;
}while($i<count($data));

En général, c'est là que je me prends une volée de bois vert par des cracks (coucou Jreaux, coucou rawSrc), et ça me vexe un peu... mais ça me remets les idées en place sur les bonnes pratiques, ce qui est le but recherché après tout ! Pas taper, pas taper !

[Invité]

Hello Dendrite,
On parle de moi ?

Pour reprendre le 1er post : on a 2 choses indépendantes.

1- Une requête préparée a pour vocation de sécuriser la requête SQL et de la protéger des "injections SQL" *.
POINT.

* On peut aussi utiliser bindValue ou bindParam, qui prennent un paramètre définissant s'il s'agit d'un entier (PDO::PARAM_INT), une chaîne (PDO::PARAM_STR),...
Ce qui augmente un peu le niveau de sécurité.

2- le fait qu'il y ait un <script> dans le champ n'a RIEN A VOIR avec une quelconque "injection SQL" !
La preuve : rien n'empêche d'enregistrer du code HTML (donc des balises HTML) dans une table de bdd (via un textarea généralement)

DONC, il faut sécuriser aussi les champs de formulaire, CONTRE les "codes HTML malveillants" :

• En amont (avant enregistrement), avec strip_tags() (qui peut prendre un paramètre allowed_tags) **
• En aval (à l'affichage), avec htmlspecialchars()

Au minimum.

** Il existe aussi des fonctions PHP de validation d'email, d'URL,... : voir filter_validate(),... Filtres de validation