Besoin de mysql_real_escape_string à chaque fois ?

Version imprimable

05/08/2010, 07h41

Besoin de mysql_real_escape_string à chaque fois ?

Bonjour,

j'ai un site avec une partie réservée à des membres et je souhaite la sécuriser au maximum mais je me pose une question quant aux sessions.

J'aimerai savoir si un hacker/pirate pouvait modifier les sessions. Si c'est éventuellement possible, il faut que j'utilise mysql_real_escape_string à chaque fois que je veux faire une requête pour éviter les injections sql mais si c'est impossible, c'est inutile.

Donc quel est le meilleur moyen pour avoir des sessions sécurisées :
- enregistrer le login avec mysql_real_escape_string et le mot de passe en sha1 et utiliser mysql_real_escape_string à chaque requête
- ou uniquement enregistrer ces deux informations mais sans utiliser mysql_real_escape_string à chaque fois ?

Merci
05/08/2010, 10h27
sabotage

les injections SQL, le hashage SHA1 et les sessions PHP sont 3 choses complétement différentes.

Concernant les sessions, on peut raisonnablement dire qu'il n'est pas possible de modifier une session de l'exterieur.
Il est possible de voler une session existante mais c'est un autre sujet.

Concernant les injections SQL, il faut protéger toute les chaines et toutes les données provenant d'une source extérieure.
Si tu places en session, la donnée saisie par l'utilisateur dans un formulaire, il faut évidemment la protéger avant de l'utiliser dans une requête.

Merci pour ta réponse.

Voici ce que je fais actuellement :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 $login=mysql_real_escape_string($_POST['login']); $pass=sha1($_POST['pass']); $query="SELECT no_utilisateur FROM utilisateurs WHERE nom_utilisateur='$login' AND pass='$pass'"; $req=mysql_query($query); if (mysql_num_rows($req)>0) { $tab=mysql_fetch_assoc($req); $_SESSION['utilisateur']=array( 'no'=>$tab['no_utilisateur'], 'nom'=>$login, 'pass'=>$pass ); } else { // erreur, utilisateur inconnu }
De cette manière il ne me semble pas qu'il y ait de problème au niveau sécurité.

Donc dans la partie membre, je peux directement utiliser $_SESSION['utilisateur']['no'] ou $_SESSION['utilisateur']['nom'] sans risquer d'injection sql ?

Par exemple :

Code:

$query='SELECT date_inscription FROM utilisateurs WHERE no_util='.$_SESSION['utilisateur']['no'];

Merci de me dire si c'est correct au niveau sécurité ou si vous avez des conseils.

05/08/2010, 14h57
sabotage

Tout chaine doit $etre protégée puisque susceptible de contenir un guillemet
05/08/2010, 15h24

Donc d'après ce que tu me dis, il faudrait que je fasse :

Code:

$query='SELECT date_inscription FROM utilisateurs WHERE no_util='.mysql_real_escape_string($_SESSION['utilisateur']['no']);

quand même ?
05/08/2010, 16h09
sabotage

Si "no" est un id numérique, non.
Ce sont les chaines qui posent problème.
05/08/2010, 17h09

Oui, no est un entier.

Mais pour le login vu que je l'enregistre en session avec mysql_real_escape_string() et qu'il n'est pas possible que quelqu'un la modifie, je n'ai pas besoin d'utiliser à chaque fois la fonction contre les injections sql ?

C'est une erreur de le stocker apres mysql_real_escape_string().
Démonstration avec le login : l'arbre

Code:

1
2
3
4
5
6
7
8
9
$login=mysql_real_escape_string($_POST['login']);
 
  $_SESSION['utilisateur']=array(
	'no'=>$tab['no_utilisateur'],
	'nom'=>$login,
	'pass'=>$pass
    );
echo 'Bonjour ' . $login . ' vous êtes bien connecté';
// Bonjour l\'arbre vous êtes bien connecté

05/08/2010, 18h49

Ha je n'avais pas pensé à cela...

J'ai compris maintenant où j'avais tort, je te remercie pour ton aide et tes réponses rapides ;)