ouarzazat Posté 6 Mai 2006 Partager Posté 6 Mai 2006 Bonjour à tous, Je souhaiterais lancer une série de thèmes concernant la sécurisation de site web où chacun apporterait sa pierre à l'édifice. Après tout internet c'est d'abord cela, le partage des connaissances! Je vous propose cette première partie, les injections SQL qui fait frémir bon nombre de développeurs plus ou moins débutant, comme moi J'aimerais que nous puissions traiter ce sujet en long, en large et en travers au travers de vos expériences, témoignages et démonstrations. Vous pourrez proposer d'autres thèmes pour lesquels nous ouvrirons d'autres posts, mais par pitié essayez autant que possible de rester dans le sujet de ce post, dans l'intérêt de tous ! ----------------------------------------------------------------------------------------------- Moi même très peu pointu, voire carrément obtu, sur les questions de sécurité, j'y vais donc de ma question pour lancer le débat: Pour éviter des injections sql, est-il judicieux de spécifier une plage d'argument? A la manière d'une plage ip vous voyez? Par exemple, pour une page liste_resultat.php?num_page=... Est-il judicieux de spécifier que $_POST['num_page'] est un nombre compris entre x et y? Ou bien pour une autre page dire qu'il ne doit pas y avoir tel ou tel caractère dans le $_POST? Faudrait-il faire cela pour chacune de nos pages? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kwiz Posté 6 Mai 2006 Partager Posté 6 Mai 2006 Bonsoir, J'ai fait ça sur mon site en développement, mais j'ai fini par retirer le code de vérification car ça prend du temps de vérifier à chaque fois si les données de la requête n'ont pas été modifier. Je pense que mettre le Register_globals à off, Magic_quotes à on et coder de façon rigoureuse par exemple en déclarant toujours ses variables sont de bonnes pratiques pour éviter des injections de codes. Kwiz Lien vers le commentaire Partager sur d’autres sites More sharing options...
K-Ola Posté 6 Mai 2006 Partager Posté 6 Mai 2006 J'utilise en plus sur chaque variable avant sont traitement dans la base de donnée la fonction addslashes() sous php combiné à une bonne configuration du serveur comme l'a signalé Kwiz,je pense que c'est un bon début de solution à ce genre de probléme de sécurité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kwiz Posté 6 Mai 2006 Partager Posté 6 Mai 2006 Quelques liens sur la sécurisation de scripts PHP : http://www.phpsecure.info/v2/article/php-security.php http://www.phpsecure.info/v2/zone/pArticle Kwiz Lien vers le commentaire Partager sur d’autres sites More sharing options...
ouarzazat Posté 6 Mai 2006 Auteur Partager Posté 6 Mai 2006 (modifié) Je pense que mettre le Register_globals à off, Magic_quotes à on Merci pour les lien, ce site à l'air de la référence en la matière! Quoi ça register_globals et magic_quotes ? Modifié 6 Mai 2006 par ouarzazat Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kwiz Posté 6 Mai 2006 Partager Posté 6 Mai 2006 register_globals : http://fr.php.net/manual/fr/security.globals.php magic_quotes : http://fr.php.net/manual/fr/security.magicquotes.php Kwiz Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant