Discussion :

[marco62118]

Bonsoir à tous

Je veux gérer une petite base de données sur le web.

les adhérents peuvent remplir un formulaire d'inscription, avec leurs données et bien sûr un mot de passe.

Je vais faire des requêtes préparées avec PDO.

j'ai bien compris qu'il fallait se protéger des données de l'utilisateur.

Mais si je vérifie chaque donnée du formulaire avec des expressions régulières ex le nom uniquement des Majuscules avec à l'occasion - et espace car dans le formulaire un script javascript transforme le nom en Majuscule et n'accepte que des lettres supprime les espace de début et fin. Donc il ne peut pas y avoir dans ce nom de possibilité d'injecter du code !

Je ne comprends pas non plus pourquoi on sécurise les données POST avec htmlentities qui va transformer les <> en entités html et enregistrer la donnée transformée dans la base de donnée plutôt que de refuser cette donnée avec des chevrons?

Je ne sais plus bien ce qu'il faut utiliser comme protection

[mathieu]

Je ne comprends pas non plus pourquoi on sécurise les données POST avec htmlentities qui va transformer les <> en entités html et enregistrer la donnée transformée dans la base de donnée plutôt que de refuser cette donnée avec des chevrons?

ce n'est pas du tout une bonne idée de stocker du code html dans la base de données sauf dans des cas très particuliers qui n'ont rien à voir avec une sécurisation mais plutot une fonctionnalité.

la base de données doit contenir une donnée brute.
et ensuite la donnée sera peut-être mise en forme d'un côté avec des couleurs pour être affichée dans un terminal.
et d'un autre côté la même donnée va être affichée dans du code HTML où on utilise par exemple "htmlspecialchars" pour la convertir en HTML et du code CSS pour la mettre en forme.

[marco62118]

Bonjour

je te remercie pour ta réponse, ma réponse un peu tardive car j'essaie de trouver comment sécuriser mon site!
justement je ne comprends pas pourquoi "certain" explique qu'il faut à tout prix protéger les données provenant d'un formulaire comme ci-dessous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$NOM = (htmlentities($_POST["nom"]));
		$PRENOM = (htmlentities($_POST["prenom"]));

mais si j'interroge la base de donnée comme ci-dessous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$retours = $liaison->prepare("SELECT * FROM adherents WHERE NOM=:nom AND PRENOM=:prenom");
		$retours->bindValue(':nom', $NOM);
		$retours->bindValue(':prenom', $PRENOM);
		$reussit=$retours->execute();

Pour que la requête réponde favorablement il faut que nom et prenom soient enregistrés dans la base modifiés par htmlentitiesne serait ce que les apostrophes!
ce qui fait bien que dans la base ne sont pas enregistrées les données brutes.
Je ne comprends pas pourquoi simplement on ne filtre pas le nom ou le prenom avec une expression régulière ?

[marco62118]

est ce que l'explication que je marque ici est relativement bonne

<!-- utilisation de htmlentities
ex: echo htmlentities('Damien Séguy & Philippe Gamache');
le serveur envoi au navigateur de l'internaute le code équivalent à la fonction htmlentities
c'est à dire : Damien S&eacute;guy &amp; Philippe Gamache
le navigateur reçoit la ligne cidessus est en fait l'écho mais le navigateur interprête &eacute; comme étant la lettre é accent aigu
le code &amp; comme le sigle &, le navigateur inscrit donc à l'écran la phrase : Damien Séguy & Philippe Gamache
Mais si on regarde dans le code source de la page on voit bien la ligne résultat de la fonction htmlentities, envoyée par le serveur:
<body> Damien S&eacute;guy &amp; Philippe Gamache1 </body>

-->

[mathieu]

est ce que l'explication que je marque ici est relativement bonne

oui ces explications ont l'air correctes.
vous remarquerez qu'il est bien question du navigateur dans ce texte et ça ne parle pas de base de données.