Discussion :

[Raptor92]

Bonjour,

Dans ma page "login", j'ai la requête suivante et je souhaiterais avoir vos avis quant à son écriture et surtout de savoir si la sécurité de ma requête est suffisante pou pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
require('../connexion/config.php');
 
session_start();
if (isset($_POST['username'])){
  $username = stripslashes($_REQUEST['username']);
  $username = mysqli_real_escape_string($conn, $username);
  $password = stripslashes($_REQUEST['password']);
  $password = mysqli_real_escape_string($conn, $password);
    $query = "SELECT * FROM `users` WHERE email='$username' and password='".hash('sha256', $password)."'";
  $result = mysqli_query($conn,$query) ;
  $rows = mysqli_num_rows($result);
  if($rows == 1){
      $_SESSION['username'] = $username;
      header("Location: ../extranet.php");
      exit();
  }else{
    $message = "Le nom d'utilisateur ou le mot de passe est incorrect.";
  }
}
?>

Venant du monde de Windev, j'ai lu beaucoup d'articles sur la sécurité des requêtes et en outre de se protéger contre les injonctions sql, mais j'avoue avoir encore un peu de mal sur le sujet.
Par avance merci pour vos remarques
J'ai lu quelque part que les paramètres devaient être passés avec des "?" mais dans le cas présent, je ne vois pas commet faire

[gabi7756]

Bonjour, effectivement utiliser des requêtes préparées et paramétrées c'est le mieux. Cette méthode est plus facile, plus claire et surtout plus sécurisée pour effectuer des requêtes.
Voici la doc php qui en traite , juste besoin d'appliquer à ton cas et pof

https://www.php.net/manual/fr/mysqli...statements.php


Bon courage

[Raptor92]

Bonjour,

Merci pour votre réponse, mais cela ne me renseigne pas sur mon code et de savoir si celui-ci est correct ou pas en terme de sécurité.
Bonne journée

[gabi7756]

J'ai pas de citation mais un code n'est jamais parfait donc y a toujours mieux à faire , la question est de savoir si ça en vaut la peine ou pas.

Bien que mysqli_real_escape_string() aide à prévenir les injections SQL, ce n'est pas une solution complète. Il est recommandé d'utiliser des requête préparé pour être sur que les données sont correctement échappées.

Utilise password_hash plutot que hash , hash est utilisé pour d'autre donnée mais pas pour le password, password_hash utilise un sel automatique et fait des bidouilles pour rendre ton mdp plus dur à trouver, de plus la fonction utilise le hash bcrypt qui est concu pour être plus long à décrypter ... Bref c'est mieux et puis y a password_verify() normalement pour vérifier le password

Une discussion qui évoque l'avantage de bcrypt
https://security.stackexchange.com/q...crypt-vs-sha-3


Explication de password_hash et password_verify
https://stackoverflow.com/questions/...assword-verify

Bref bon courage

[Toufik83]

Bonjour,

Pour la securité de la requête c'est ok puisque tu utilises mysqli_real_escape_string, mais du côté érgonomie, il faudrait mieux passer à PDO et oublier MySQLI parce que les caractères spéciaux sont un vrai cauchemar pour MySQLI.

As-tu essayé de ajouter/récupérer des lignes contenant des caractères spéciaux dans vos tables SQL ?

[Raptor92]

Bonjour,

Navré pour le délais de réponse, mais il a fallu que cela monte au cerveau et redescende.....
J'ai donc tenu compte de vos remarques et serais très intéressé par vos remarques.

Index:

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <title>Inscription/Connexion</title>
    <meta name="viewport" content="width=device-width, initial-scale=1">
</head>
<body>
 
    <form method="POST" action="register.php">
        <input type="email" placeholder="Email" name="email"><br>
        <input type="password" placeholder="Mot de passe" name="password"><br>
        <button type="submit">Inscription</button>
    </form>
 
    <hr>
 
    <form method="POST" action="login1.php">
        <input type="email" placeholder="Email" name="email"><br>
        <input type="password" placeholder="Mot de passe" name="password"><br>
        <button type="submit">Connexion</button>
    </form>
 
</body>
</html>

Register:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
	require('./connexion.php');
 
	if (!empty($_POST['email']) && !empty($_POST['password'])) {
	    $email = $_POST['email'];
	    $password = password_hash($_POST['password'], PASSWORD_DEFAULT);
 
	    $q = $conn->prepare('INSERT INTO users (email, password) VALUES (:email, :password)');
	    $q->bindValue('email', $email);
	    $q->bindValue('password', $password);
	    $res = $q->execute();
 
	    if ($res) {
	        $message =  "Connexion success";
	    }
	}

Et login:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
	require('./connexion.php');
 
	if (!empty($_POST['email']) && !empty($_POST['password'])) {
	    $email = $_POST['email'];
	    $password = $_POST['password'];
	    $q = $conn->prepare('SELECT * FROM users WHERE email = :email');
	    $q->bindValue('email', $email);
	    $q->execute();
	    $res = $q->fetch(PDO::FETCH_ASSOC);
	    if ($res) {
	        $passwordHash = $res['password'];
	        if (password_verify($password, $passwordHash)) {
	            $message =  "Connexion success !";
	        } else {
	            $message =  "ID or Password failed";
	        }
	    } else {
	        $message =  "ID or Password failed";
	    }
	}

Par avance merci pour votre temps