injection sql et cross site scripting: côté client ou serveur

Version imprimable

03/10/2006, 19h01
cari

injection sql et cross site scripting: côté client ou serveur

Bonjour,
SI apache (donc j'utilise php) est mon serveur web,
serait ce préférable de gérer les injections sql et le cross site scripting: du côté client ou du côté serveur.
Où a t-on plus de sécurité?
SI c'est du côté client, qu'elle procédure adopter pour les injections sql et le cross site scripting?
Si c'est du coté serveur, quelle procédure suivre pour les injections sql et le cross site scripting?
Merci.
03/10/2006, 19h19
Eusebius

Bonjour

Question sécurité, ne te repose jamais sur le client, tout ce qui se passe de ce côté est falsifiable, simulable, etc (à peu de choses près).

Sur les questions de sécurité en PHP, tout ou presque est une question de bonnes pratiques. De saines lectures : http://php.developpez.com/cours/#securite

Pour te prémunir des injections SQL, l'utilisation de mysql_real_escape_string (si tu utilises mysql) telle que recommandée par la doc fait déjà des merveilles. Il y a beaucoup d'informations intéressantes dans les commentaires de la page de doc.

en réalité ma requete de mise à jour est dans un fichier .vbs.
la base est sql server.
est ce que je peux toujours utiliser mysql_real_escape_string
Code:

1 2 3 4 5 NewMDP = ServerTRN.Encode(NewMDP) SQLQueryDecis = "update IUT set ID_UTIL = '" & NewID & "' , MDP_UTIL = '" & NewMDP & "' where VUNAME = '" & Vuname & "'" ConnectionFi.Execute SQLQueryDecis,NbRecordAffected,&H80

03/10/2006, 19h49
Eusebius

Non tu ne peux pas, les fonctions mysql_xxx sont des fonctions de l'extension mysql de PHP, réservées à MySQL.

Je croyais que tu travaillais en PHP, c'est peu probable qu'ici tu trouve des réponses pour des questions en VB. Mais il y a d'autres sections sur le site.

Si tu utilises PHP, il y a une extension SQL Server, mais personnellement je ne la connais pas : http://fr.php.net/manual/fr/ref.mssql.php

Dans tous les cas tu trouveras sans doute réponse à tes questions d'injection SQL dans le cas de SQL server dans la FAQ SQL Server, les cours et tutoriels, ou à défaut le forum SQL Server.
04/10/2006, 10h02
rudib

Bonjour,

Pour un bon site sur la sécurité avec SQL Server : http://www.sqlsecurity.com/

Des conseils de M$ : http://msdn2.microsoft.com/fr-fr/library/ms161953.aspx
Un document sur le sujet : http://www.ngssoftware.com/papers/ad..._injection.pdf
04/10/2006, 11h46
SQLpro

Je confirme, la sécurité se pose côté serveur et non client. L'injection de SQL est facilement contournable avec une bonne gestion des privilèges SQL.

Le mieux étant évidemment d'utiliser essentiellement des procédures stockées ET REIN d'AUTRE !

A +
04/10/2006, 15h48
cari

Pouvez vous me donner un coup de pousse concernant cette procédure pour empécher les injections sql?:oops:
merci.
05/10/2006, 11h35
SQLpro

Déportez toutes vos requêtes dans des proc stock...

A +

Bonjour, voici un exemple de procédure stockée.
Comment puis je faire pôur contrôler les injection SQL dans ma procédure?
Merci.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
CREATE Procedure AjoutAuteur
@CodeAut int, 
@NomAut varchar(30),
@PrenomAut varchar(30),
@Message  varchar(50) output --contient le vide si tout s'est bien passé et une chaîne sinon
 
As
begin
set @Message = '' --on suppose que tout s'est bien déroulé
set @CodeAut=(select Max (CodeAut) from Auteur)
 
if @CodeAut is null   --@@ROWCOUNT = 0 --on suppose que il n'ya pas d'enregistrement   
      begin
      set @CodeAut=1
      Insert Into Auteur(CodeAut, NomAut,PrenomAut)
      Values(@CodeAut, @NomAut,@PrenomAut)
      set @Message = 'Ajout effectué.'--on suppose que tout s'est bien deroule
      end
   else  -- aucun enregistrement
   begin
   If (Exists (select *  From Auteur Where (NomAut =@NomAut and PrenomAut=@PrenomAut)))
      set @Message = 'Auteur déjà exitant.'
      else
      begin
      set @CodeAut=(select (Max (CodeAut) + '1' ) from Auteur)
      Insert Into Auteur(CodeAut, NomAut,PrenomAut)
      Values(@CodeAut, @NomAut, @PrenomAut)
      set @Message = 'Ajout effectué.'--on suppose que tout s'est bien deroule
      end
   end
end
GO

06/10/2006, 10h35
SQLpro

Il n'y a pas d'injection de SQL possible dans cette procédure car vous n'utilisez ni EXEC (@...) ni sp_executeSQL.

Si vous voulez renforcer la sécurité des tables en jeu dans ce cas, interdisez le privilège INSERT sur la table Auteur.
Remarquez aussi que ce qui différe dans l'appel d'une procédure d'insertion et d'ajout c'est la connaissance de la clef. Vous pouvez donc écrire une seule proc stock commune à l'INSERT ou l'UPDATE...

Attention à votre méthode d'autoincrémentation des clefs. Elle est par essence extémement dangereuse à double titre.
1) rien n'empêchera l'apparition de doublons. Un utilisateur peut en effet effectuer la même opération en léger décalage et se retrouver avec la même valeur extraite par SELECT
2) au fur et à mesure de la montée en charge le SELECT MAX prendre de plus en plus de temps car il lui faut verouiller TOUTE la table
Lisez l'article que j'ai écrit à ce sujet :
http://sqlpro.developpez.com/cours/clefs/
Utilisez de préférence les auto incrément normalisés tels que IDENTITY.

A +
08/10/2006, 12h28
cari
j'ai un petit souci. Mon problème c'est que l'application n'utilise pas des procédures stockées, les utiliser revient à revoir l'application d'une manière fondamentale. Est ce que je ne pourrai pas utiliser des expressions régulières, du style:
Code:

1 2 3 Dim reg As Regex = New Regex("^[A-zA-Z0-9_]{10}$") reg.IsMatch(TextBox1.Text)