Version complète: sur le forum Webmaster Hub : Dossier sécurisation de site web
Webmaster Hub > Création et exploitation de Sites Internet > Les langages du Net > SQL
ouarzazat
samedi 6 mai 2006 à 16:31
Bonjour à tous,

Je souhaiterais lancer une série de thèmes concernant la sécurisation de site web où chacun apporterait sa pierre à l'édifice.
Après tout internet c'est d'abord cela, le partage des connaissances!

Je vous propose cette première partie, les injections SQL qui fait frémir bon nombre de développeurs plus ou moins débutant, comme moi tongue.gif

J'aimerais que nous puissions traiter ce sujet en long, en large et en travers au travers de vos expériences, témoignages et démonstrations.

Vous pourrez proposer d'autres thèmes pour lesquels nous ouvrirons d'autres posts, mais par pitié essayez autant que possible de rester dans le sujet de ce post, dans l'intérêt de tous !

-----------------------------------------------------------------------------------------------

Moi même très peu pointu, voire carrément obtu, sur les questions de sécurité, j'y vais donc de ma question pour lancer le débat:

Pour éviter des injections sql, est-il judicieux de spécifier une plage d'argument?
A la manière d'une plage ip vous voyez?

Par exemple, pour une page liste_resultat.php?num_page=...
Est-il judicieux de spécifier que $_POST['num_page'] est un nombre compris entre x et y?

Ou bien pour une autre page dire qu'il ne doit pas y avoir tel ou tel caractère dans le $_POST?

Faudrait-il faire cela pour chacune de nos pages?
Kwiz
samedi 6 mai 2006 à 17:51
Bonsoir,

J'ai fait ça sur mon site en développement, mais j'ai fini par retirer le code de vérification car ça prend du temps de vérifier à chaque fois si les données de la requête n'ont pas été modifier.

Je pense que mettre le Register_globals à off, Magic_quotes à on et coder de façon rigoureuse par exemple en déclarant toujours ses variables sont de bonnes pratiques pour éviter des injections de codes.

Kwiz
K-Ola
samedi 6 mai 2006 à 18:05
J'utilise en plus sur chaque variable avant sont traitement dans la base de donnée la fonction addslashes() sous php combiné à une bonne configuration du serveur comme l'a signalé Kwiz,je pense que c'est un bon début de solution à ce genre de probléme de sécurité.
Kwiz
samedi 6 mai 2006 à 18:22
Quelques liens sur la sécurisation de scripts PHP :

http://www.phpsecure.info/v2/article/php-security.php
http://www.phpsecure.info/v2/zone/pArticle

Kwiz
ouarzazat
samedi 6 mai 2006 à 19:04
CITATION
Je pense que mettre le Register_globals à off, Magic_quotes à on


Merci pour les lien, ce site à l'air de la référence en la matière!

Quoi ça register_globals et magic_quotes ? blush.gif
Kwiz
samedi 6 mai 2006 à 19:12
register_globals : http://fr.php.net/manual/fr/security.globals.php
magic_quotes : http://fr.php.net/manual/fr/security.magicquotes.php

Kwiz
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.