[Système] la fonction mysql_escape_string

Version imprimable

06/10/2006, 02h23
Henry9

[Système] la fonction mysql_escape_string

Bonjour,

Lorsqu'on veut inséré un login dans la table, est-ce que un passage par mysql_escape_string est suffisant ? je parle au niveau de la sécurité.

Parceque lorsque j'utilise cette fonction, et que j'insère par exemple un login du genre: <>pé/co, et que je regarde dans phpmyadmin, je vois le login tel qu'il est, donc je voudrai savoir savoir si c'est normal ?

Ne vaudrai t-il pas mieux utiliser une autre fonction qui est htmlentities (ou quelquechose comme ca) pour transformer les caractères en html, c'est p'etre plus sûre ?

Sinon pour le mot de passe, est-ce que un simple md5 pour hasher suffit ? Pas de risque d'un code malveillant ?

merci d'avance.
06/10/2006, 03h07
JackBeauregard

Salut,

Si tes logins ont un masque le mieux est d'utiliser les expressions régulières. Personnellement j'utilise les expressions régulières (donc déjà normalement le problème est réglé puisque dans mes logins il n'y a que des lettres), mais en plus comme je suis parano j'ajoute mysql_real_escape_string et htmlentities.
Et je vérifie aussi le nombre de caractères entrés, puisque mes pseudos doivent avoir entre 3 et 20 caractères.
Donc là, le gars doit réussir son attaque en utilisant que des lettres, avec au maximum 20 caractères et en bonus il doit passer mysql_real_escape_string et htmlentities. Autant dire que je l'attend ailleurs.

Pour htmlentities et mysql_real_escape_string, ces fonctions s'utilisent différement : la première c'est pour lutter contre les attaques xss (comme htmlspecialchars), la seconde c'est pour lutter contre les injections sql.

Le top quand on peut, ça reste les expressions régulières, que quelqu'un me fouette si je me trompe.
06/10/2006, 15h21
AzertyH

Salut, pourais-tu nous écrire le code pour mieux montrer la sintaxe exacte de ta procédure?

Merci

Code:

1
2
3
4
5
6
7
8
<form method="POST" action="inscription.php" />
<div>
<label>Login</label><input type="text" name="login" /> <br />
<label>Pass</label><input type="password" name="pass" /> <br />
<label>Retaper Pass</label><input type ="password" name="repass" /><br />
<input type="submit" value="Confirmer" name="Confirmer"/> 
</div>
</form>

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
if (isset($_POST['Confirmer']) && $_POST['Confirmer'] == 'Confirmer')
	{
	if (!empty($_POST['login']) && !empty($_POST['pass']) && !empty($_POST['repass']))
		{
			if ($_POST['pass'] == $_POST['repass'])
				{
 
					$connection = mysql_connect('localhost', 'root', '');
					mysql_select_db('test', $connection);
					$req= 'SELECT count(*) FROM membre WHERE login="'.$_POST['login'].'"';
					$res= mysql_query($req);
						if (mysql_result($res,0) == 0)
							{
							mysql_query('INSERT INTO membre (id, login, pass) VALUES ("", "'.mysql_escape_string($_POST['login']).'", "'.md5($_POST['pass']).'")');
							echo 'Vous venez de vous inscrire, bravo !';
							}
						else echo "Cette identifiant existe déjà";
				}
				else echo "Les deux mots de passe sont différentes";
		}
		else echo 'Vous devez rempli tous les champs';
	}
?>

J'ai vraiment fait un code des plus simples. Sinon je pense que je vais faire comme l'a dit plus haut, cad utiliser les expressions régulières.

Si quelqu'un a un avis à apporter au niveau des failles dans mon code ou une amélioration etc.., n'hésitez pas.

06/10/2006, 18h54
JackBeauregard

Avant de voir le code... :calim2:

Citation:

else echo "Cette identifiant existe déjà";
}
else echo "Les deux mots de passe sont différentes";
}
else echo 'Vous devez rempli(?)tous les champs';
}
?>

Cela fait super des fautes comme ça, pour tes membres.
J'espère que t'es pas français ou que t'étais très très fatigué mais sinon les profs sont vraiment minables.
06/10/2006, 19h03
vg33

Ta syntaxe me semble potentiellement dangereuse.
A mon avis, tu ne devrais jamais utiliser de données utilisateur sans les avoir validées. Concrètement, tu ne dois jamais utiliser les tableau POST, GET... en dehors de la phase de validation.
Exemple : tu valides successivement chaque POST (longueur, caractères...). S'il est valide, tu le stockes dans un autre tableau, $donneesValides, par exemple. Et c'est uniquement ce tableau $donneesValides que tu utilises par la suite. Comme ceci, tu es sûr de ne pas utiliser de données non validées.
06/10/2006, 20h13
Henry9

Citation:

Envoyé par JackBeauregard

Avant de voir le code... :calim2:

Cela fait super des fautes comme ça, pour tes membres.
J'espère que t'es pas français ou que t'étais très très fatigué mais sinon les profs sont vraiment minables.

Non je n'ai pas encore de site utilisant du php. Je débute en php.

Pour les fautes d'orthographes, disons que j'ai fait mon code à la va-vite.

vg33: quand tu parles de données valides, c'est pour éviter que l'internaute ne saisisse un code malveillant ? Alors si j'ai bien compris, je devrai d'abord mettre $_POST['login'] dans une variable et passer cette variable dans des fonctions de "nettoyage" si puis dire tel que mysql_escape_string ?

Mais moi j'ai utiliser mysql_escape.... au moment de l'insertion,c'est à dire ici:

Code:

mysql_query('INSERT INTO membre (id, login, pass) VALUES ("", "'.mysql_escape_string($_POST['login']).'", "'.md5($_POST['pass']).'")');

Pour moi ce code veut dire qu'il va d'abord protéger les caractères (je ne sais pas du tout précisément comment) et ensuite injecter dans la table.
Quelqu'un confirme ? Si oui, alors je ne comprend pas où est la faille.

Citation:

Concrètement, tu ne dois jamais utiliser les tableau POST, GET... en dehors de la phase de validation.

La phase de validation concerne t-elle la requete d'insertion ? Ca veut qu'avant je ne dois pas utiliser de $_POST['login'] pour récupérer les valeurs des champs?
C'est pas trop clair pour moi, dsl.
06/10/2006, 20h34
vg33

Citation:

Envoyé par Henry9

vg33: quand tu parles de données valides, c'est pour éviter que l'internaute ne saisisse un code malveillant ? Alors si j'ai bien compris, je devrai d'abord mettre $_POST['login'] dans une variable et passer cette variable dans des fonctions de "nettoyage" si puis dire tel que mysql_escape_string ?

Pas seulement. C'est aussi vérifier qu'un champ a bien été rempli, qu'il a la bonne longueur, que l'adresse mail (par exemple) est valide... En gros, cela revient à utiliser des isset(), strlen(), is_int()..., ou des expressions régulières. Avant n'importe quelle requête SQL, passage par mysql_real_escape_string() (lutte contre l'injection SQL). Avant n'importe quel affichage HTML, passage par htmlentities() (lutte contre les attaques XSS).
Bref, vérifier que les données et leur format correspondent bien à ce que tu attends.

Citation:

Envoyé par Henry9

Pour moi ce code veut dire qu'il va d'abord protéger les caractères (je ne sais pas du tout précisément comment) et ensuite injecter dans la table.
Quelqu'un confirme ? Si oui, alors je ne comprend pas où est la faille.

C'est exact. Cela protège des injections SQL en échappant les caractères ayant une signification en SQL (du genre ', ""...).

Citation:

Envoyé par Henry9

La phase de validation concerne t-elle la requete d'insertion ? Ca veut qu'avant je ne dois pas utiliser de $_POST['login'] pour récupérer les valeurs des champs?
C'est pas trop clair pour moi, dsl.

Si nous reprenons ta requête :

Code:

$req= 'SELECT count(*) FROM membre WHERE login="'.$_POST['login'].'"';

Si $_POST['login'] == " xxx' AND 1=2 "
Il s'agit d'une injection SQL (rajout de la condition 1=2). Le résultat ici n'est pas grave : le login sera affecté deux fois, puisque la recherche d'un login existant ne donnera aucun résultat (il ne t'aura pas échappé que la condition 1=2 est fausse :D ).
En revanche, ne pas valider le login peut être très dangereux dans une procédure d'authentification, puisque cela peut amener à une connexion avec statut d'admin sans mot de passe...
Je te renvoie à la doc sur les injections SQL pour de meilleurs explications.
06/10/2006, 20h48
Henry9

Ok, je vais faire ce que tu dis, et reposter mon code.

Merci pour tes explications très clair.
06/10/2006, 21h52
vg33

Citation:

Envoyé par Henry9

Merci pour tes explications très clair.

Avec plaisir :D
Je te rassure, je n'ai rien découvert tout seul !
Par exemple, j'ai compris la nécessité de ne pas utiliser $_POST dans un script en étudiant le framework JELIX (http://www.jelix.org/), qui récupère tout seul toutes les données GPC, les valide, et annule immédiatement les tableaux ($_POST=null, $_GET=null...), ce qui empêche toute utilisation de données non validées.