Discussion :

[Regis0122]

bonjour à tous,

J'ai développé un site internet, il sera bientôt en ligne.
Je me demandais comment je pouvais protéger mon site contre l'injection SQL, XSS etc ...

J'ai trouvé PHP-IDS http://php-ids.org/
Mais, de ce que j'en ai lu sur le net, il ne fait que détecter les intrusions, est-ce vrai ?

J'ai trouvé framework Zend, mais là, c'est le gros flou ?? est-ce une bonne solution ???

J'ai vu aussi HTML Purifier http://htmlpurifier.org/
Mais je n'ai pas envie de changer mon code et en plus il y a du php, donc je ne peux pas utiliser ça ????

Pouvez-vous me conseiller ? j'aurais aimer trouve une couche qui s'insère entre l'interface graphique de mon site et mon code d'enregistrement dans la base de données ou de connexion (il y a une zone membre)

Heureux de vous rejoindre et merci d'avance pour vos réponses

Régis

[MaitrePylos]

Bienvenu parmi nous.

Je ne peut que te conseillé de consulter nos faq's avant de poser tes questions, beaucoup de réponse trouveront gré à tes yeux.

Par exemple pour ta question va voir ici

@+

[Regis0122]

merci pour ta réponse, mais cela ne tiens pas que au mysql_real_escape_string(), sinon, il n'y aurait aucun soucis d'injection sql, certe c'est une bonne façon de ce protéger, mais c'est largement insuffisant.

J'ai continuer à regarder php-ids qui me semlble le plus sérieux, mais j'ai énormément de mal à l'utilise. Visiblement, s'il y a une intrusion détecter on peut orient vers une page d'erreur ... je patauge un peu

Est-ce que quelqu'un à déjà utilisé php-ids ?? avez-vous des exemples ?
Existe quelques chose (un script ou autre) pour filtrer les injections ?

Merci pour votre aide

Régis

[sabotage]

cela ne tiens pas que au mysql_real_escape_string(), sinon, il n'y aurait aucun soucis d'injection sql, certe c'est une bonne façon de ce protéger, mais c'est largement insuffisant.

Aurais-tu en tête un cas ou la fonction ne suffit pas ?

[onet]

Aurais-tu en tête un cas ou la fonction ne suffit pas ?

Injection XSS, notamment. Ainsi qu'injection par donnée ASCII. De meme que cela ne protège pas en cas d'attaque par overflow sur un système master-slave (certaines versions de Mysql).

Bref, n'utiliser que cette fonction n'est pas sécuriser un site. Il est nécessaire d'ajouter des tests (regexp), ou des outils (php-ids).

Concernant php-ids, je l'ai utilisé et mis en place sur un site à 20 millions de views/mois. Ca fonctionne très bien.

Et oui, l'idée de phpids, c'est de donner un "poids" à chaque détection. Et si cette valeur dépasse le seuil que tu lui autorise, il interrompt purement et simplement le script (on l'avait couplé à un système de ban temporaire par iptables. Très très efficace).

Tu trouveras quelques infos sur mon blog: http://www.olivierlange.com/2009/02/...-son-site-web/

Onet

[sabotage]

Injection XSS, notamment. Ainsi qu'injection par donnée ASCII.

Pourrais-tu être plus précis ?

Je ne vois pas le rapport entre le XSS et l'injection SQL.