[Sécurité] CrossScripting, SQL injection comment les éviter

CrossScripting, SQL injection comment les éviter [Sécurité] - PHP - Programmation

Marsh Posté le 17-03-2006 à 14:37:21    

Hello,
 
 
Est ce que vous connaisser de bon articles sur la sécurité en générale d'une appli web, qui donne les 'best practices' sur comment eviter l'injection de code SQL, le Cross Scripting?
 
J'aimerais faire le tour d'une appli web que j'ai développer y'a un moment pour mettre a niveau la sécurité.
 
Genre actuellement, je fait du addSlashes() sur les valeurs provenant d'un formulaire que je vais inserer en base...
mais je cherche qqch d'assez exauhstif.


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 17-03-2006 à 14:37:21   

Reply

Marsh Posté le 17-03-2006 à 14:45:59    

Reply

Marsh Posté le 17-03-2006 à 15:09:42    

ca a l'air d'etre une appli pour auditer un site,
 
moi je cherche un article qui dit que la meilleur facon de récuperer les données d'un formulaire c'est
 
addSlashes($_POST['mon_champ')
 
car addslashes ca backslash les caractères spéciaux et permet de ne pas mettre en danger l'intégrité de ta requete sql...
 


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 17-03-2006 à 15:18:12    

paquerette > Je en sais pas s'il existe un tel article, mais voilà ce que je sais :
- s'il existe une fonction dédié à la sécurisation des données envoyé à une base de donnée, il faut utilisé celle là
- pour éviter les attaques de type "Cross Scripting", il faut ne jamais envoyer tel quel du texte venant de l'extérieur. Le plus simple, c'est d'utiliser à chaque fois la fonction "htmlentities()". S'il faut permettre la mise en forme de texte alors il ne faut jamais autorisé directement les balises html mais passer par un systéme tel que les UBBCode.
 
A savoir aussi qu'il faut vérifier que chaque donné qui arrive soient bien du type attendus (il est si simple d'envoyer une chaine à la place d'un nombre ;) ) et qu'elles ne contiennent que des caractéres autorisés.
 
 
Voilà en gros ce qu'il y a à savoir pour éviter la majorité des attaques. Pour le reste, google est ton ami même s'il t'indiquera pleins de texte plus ou moins intéressant.

Reply

Marsh Posté le 17-03-2006 à 16:02:21    

-s'il existe une fonction dédié à la sécurisation des données envoyé à une base de donnée, il faut utilisé celle là  
 
tu parles de quel méthode? moi j'utilisais addSlashes()
 
Sinon, y'a beaucoup de bruit dans mes recherches googlienne notamment toutes les sites de sécurité qui rapportent des vulnérabilités... c pour ca que je demande si qqn n'a pas lu (ou rédigé un artcle  la dessus)
(et puis je suis overbooker alors, j'ai pas trop le temps a y consacré vu que c un projet perso)


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 17-03-2006 à 16:47:40    

paquerette a écrit :

-s'il existe une fonction dédié à la sécurisation des données envoyé à une base de donnée, il faut utilisé celle là  
 
tu parles de quel méthode? moi j'utilisais addSlashes()


mysql_real_escape_string() pour MySQL par exemple.

Reply

Marsh Posté le 17-03-2006 à 17:06:55    

[quotemsg=1327422,5,38571]-s'il existe une fonction dédié à la sécurisation des données envoyé à une base de donnée, il faut utilisé celle là  
 
tu parles de quel méthode? moi j'utilisais addSlashes()quotemsg]
Un exemple : en se conectant à mysql à l'aide des fonction mysqli => "mysqli_real_escape_string()" http://fr3.php.net/manual/fr/funct [...] string.php
Pour postgressql : "pg_escape_string()" http://fr3.php.net/manual/fr/funct [...] string.php
 
Le backslash protége certains caractéres mais pas tous ce qu'il faudrait pour sécuriser complétement du texte envoyé à mysql ou à postgressql.
 
 
PS : Grilled par dwogsi

Reply

Marsh Posté le 17-03-2006 à 17:37:05    

Cool, merci pour l'info, je vais regarder ca ;)


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed