salut
je cree un forum pour le site de mon lycee et en trainant de ci de la je vois pas mal de discussion a propos de la securite (notament ds les formulaires...) et je suis un peu perdu...
ma question est : quels peuvent etre les risques qd quelqu1 poste un message?
je me rappelle aussi avoir lu qu on pouvait entrer ds la base de donnees en tapant un code php a la place du pseudo. qd est il?
...
oui je sais pourquoi je prends pas un d forums tout fait et gratuit qui fourmille sur le net. Ben le meilleur moyen d apprendre le php c de le pratiquer alors voila, c 1 bon exercice...
la communauté d'entraide francophone dédiée au PHP
securite et construction de forum
C'est un excellent exercice en effet, c'est comme ça que j'ai commencé personnellement et mon forum tient toujours debout après plus de deux ans.
La première question à te poser pour la sécurité à propos de ce que tu dis, qu'on appelle "les injections SQL", est de vérifier un paramètre de configuration de ton php.ini. Vérifie dans le phpinfo de ton installation la valeur de la directive "register_globals" : par sécurité, elle devrait être à OFF, mais il arrive encore souvent qu'on voir des hébergeur avec cette directive à ON.
Dans ce dernier cas, ce n'est pas mortel, mais il faut prendre des précautions lorsqu'on utilise des formulaires de façon à ce qu'un internaute malveillant ne puisse pas envoyer en lieu et place d'un pseudo et d'un mot de passe par exemple des commandes SQL qui lui ouvriraient les portes toutes grandes de ton interface d'administration.
Je crois que le plus simple est que tu commences par organiser ton code, et quand tu en seras à des parties où tu n'es pas sûr, viens poser des questions, il y aura toujours quelqu'un pas loin pour te répondre
La première question à te poser pour la sécurité à propos de ce que tu dis, qu'on appelle "les injections SQL", est de vérifier un paramètre de configuration de ton php.ini. Vérifie dans le phpinfo de ton installation la valeur de la directive "register_globals" : par sécurité, elle devrait être à OFF, mais il arrive encore souvent qu'on voir des hébergeur avec cette directive à ON.
Dans ce dernier cas, ce n'est pas mortel, mais il faut prendre des précautions lorsqu'on utilise des formulaires de façon à ce qu'un internaute malveillant ne puisse pas envoyer en lieu et place d'un pseudo et d'un mot de passe par exemple des commandes SQL qui lui ouvriraient les portes toutes grandes de ton interface d'administration.
Je crois que le plus simple est que tu commences par organiser ton code, et quand tu en seras à des parties où tu n'es pas sûr, viens poser des questions, il y aura toujours quelqu'un pas loin pour te répondre
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse 
be en fait il est fini mais avant de le balancer sur le site je voualis m assurer d trucs de secu (je me suis fais avoir avec mon 1° truc : creation d1 sondage)
ensuite la base de donnees est sur free donc je pense que pour le truc dont tu parles ca doit etre bon (mais bon g pas verifie c vrai...)
pour info je teste le site ches moi (avec easyphp) mais aussi sur la page suivante tchactchac.free.fr (le forum est ds la section eleves)
il n y a pas de possibilites d enregistrement de nouvel utilisateur; c volontaire, je le ferais manuellement afin de verifier le nom de chaque eleve qui veut s inscrire
si jamais qq1 a le temps d aller voir pour me dire son avis
merci d avance
ensuite la base de donnees est sur free donc je pense que pour le truc dont tu parles ca doit etre bon (mais bon g pas verifie c vrai...)
pour info je teste le site ches moi (avec easyphp) mais aussi sur la page suivante tchactchac.free.fr (le forum est ds la section eleves)
il n y a pas de possibilites d enregistrement de nouvel utilisateur; c volontaire, je le ferais manuellement afin de verifier le nom de chaque eleve qui veut s inscrire
si jamais qq1 a le temps d aller voir pour me dire son avis
merci d avance
Je viens de faire quelques tests, mais je ne suis pas un pirate très redoutable. Si tu as un doute, fais voir le bout de code qui sert à l'identification (sans les codes bien entendu) entre la partie traitement des infos du formualire d'identification et la création de la requête SQL. Sur free, le register_globals est à ON, il faut donc effectivement être prudent.
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse