Bonsoir,

je viens vous soumettre un formulaire de création de compte sur un site, j'aimerais savoir si il est suffisament sécurisé ?

// on initialise la variable d'erreur
		$error = 0;
		// Vérification des données
		$check_pass = strcmp($_POST['password'], $_POST['password2']);
		if($check_pass != '0')
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_password_wrong.'</font><br /><br />';
		}
		
		$check_mail = strcmp($_POST['mail'], $_POST['mail2']);
		if($check_mail != '0')
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_mail_wrong.'</font><br /><br />';
		}
		
		// REGEX pour s'assurer que le login est correct
		strip_tags($_POST['login']);
		
		if(!preg_match('#^(?>[[:alnum:]]+)$#', $_POST['login']))
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_login_unvalid.'</font><br /><br />';
		}
		
		
		// On interdit le < dans le mot de passe
		strip_tags($_POST['password']);
		
		if(!preg_match('<', $_POST['password']))
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_pass_unvalid.'</font><br /><br />';
		}
		
		
		
		// REGEX pour s'assurer que l'e-mail est correcte
		strip_tags($_POST['mail']);
		
		if(!preg_match('`^[[:alnum:]]([-_.]?[[:alnum:]])*@[[:alnum:]]([-.]?[[:alnum:]])*\.([a-z]{2,4})$`', $_POST['mail']))
		{
			$error = 1;
			echo $lang_mail_unvalid;
		}
		
		
		
		// on vérifie que le login est unique
		$sql = 	"SELECT * 
				FROM USERS
				WHERE user_login = '".$_POST['login']."'";
		$query = mysql_query($sql) OR die('Erreur : '.mysql_error());
		$rows = mysql_num_rows($query);
		if($rows != 0)
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_login_used.'</font><br /><br />';
		}
		
		// on vérifie que le mail est unique
		$sql = 	"SELECT * 
				FROM USERS
				WHERE user_mail = '".$_POST['mail']."'";
		$query = mysql_query($sql) OR die('Erreur : '.mysql_error());
		$rows = mysql_num_rows($query);
		if($rows != 0)
		{
			$error = 1;
			echo '<font class=\'error\'>'.$lang_mail_used.'</font><br /><br />';
		}
		
		// Si il y'a pas d'erreur, on fait l'enregistrement
		if($error == 0)
		{
			$sql = 	"INSERT INTO USERS
					VALUES ('', '".$_POST['login']."', '".md5($_POST['password'])."', '".$_POST['mail']."', '0', '0', '0', '".md5($_POST['login'])."')";
			$query = mysql_query($sql);
			
			
			
			$entete = "MIME-Version: 1.0\r\n";
			$entete .= "Content-type: text/html; charset=iso-8859-1\r\n";
			$entete .= "To: $to\r\n";
			$entete .= "From: $from\r\n";
			if(!mail($to, $sujet, $message, $entete))
				echo '<font class=\'error\'>'.$lang_mail_error.'</font>';
			else
				echo $lang_registered.'<br /><br />';
			
			
			exit();
		}

Merci d'avance pour l'attention que vous y porterez : )

échappe tes ' ...

comment ça ?

sql injection tu ne connais pas ?

regarde la fonction mysql_real_escape_string()

sinon vérifie la longueur des entrées str_len() si ma mémoire est bonne

et j'aime pas l'utilisation du md5 comme cryptage, c'est du chiffrage (vérification de l'intégrité des données) pas du cryptage 2 chaines peuvent avoir le même md5, regarde la fontion crypt() tu n'auras pas de problême

---

sql injection tu ne connais pas ?

j'en ai entendu parlé vaguement. Mais vu que je n'autorise pas les caractères ' et " dans mon formulaire, je pensais que cela empechait egalement les injections.

je vais me renseigner sur mysql_real_escape_string()

Salut!

sql injection tu ne connais pas ?

j'en ai entendu parlé vaguement. Mais vu que je n'autorise pas les caractères ' et " dans mon formulaire, je pensais que cela empechait egalement les injections.

je vais me renseigner sur mysql_real_escape_string()

Même si tu n'autorises pas le caractère ', ne fais jamais confiance à l'utilisateur.

Imagine la requête suivante:

<?php
$sql="SELECT * FROM users WHERE login='$login' AND pass='$pass'";

Rien ne t'empêche de saisir 'Pierre' --' comme valeur pour la variable $login, ce qui donnera la requête suivante à exécuter:
Autrement dit, tu viens d'effectuer une injection SQL qui te permet de te connecter sans soumettre ton mot de passe (-- introduisant une ligne de commentaire en SQL)!

Si on enfermait $login dans la fonction mysql_real_escape_string(), on aurait
et il y aura de fortes chances qu'on te refuse la connexion.

De plus, un vrai développeur désactive les magic quotes (qui vont d'ailleurs disparaître en PHP6...)

De plus, un vrai développeur désactive les magic quotes (qui vont d'ailleurs disparaître en PHP6...)

D'où la fin du monde redouté par un membre de l'équipe.

Si on enfermait $login dans la fonction mysql_real_escape_string(), on aurait

Code : Tout sélectionner

SELECT * FROM users WHERE login='Pierre'' --' AND pass=''

Je pense que tu mélange Oracle et MySQL

1/ le caractere de commentaire est # pour MySQL, -- pour Oracle
2/ mysql_real_escape_string() ajoute des / devant les caractères "dangereux" alors qu'avec Oracle, il suffit de doubler les '

Imagine la requête suivante:

<?php
$sql="SELECT * FROM users WHERE login='$login' AND pass='$pass'";

Rien ne t'empêche de saisir 'Pierre' --' comme valeur pour la variable $login, ce qui donnera la requête suivante à exécuter:

Code : Tout sélectionner

SELECT * FROM users WHERE login='Pierre' --' AND pass=''

Autrement dit, tu viens d'effectuer une injection SQL qui te permet de te connecter sans soumettre ton mot de passe (-- introduisant une ligne de commentaire en SQL)!

Justement, pour parrer ce systeme d'injection SQL, j'ai une méthode à moi, qui consiste à, lors d'une authentification, ne pas aller chercher si le couple login/pass existe dans la base, mais a aller chercher seulement le login, et ensuite regarder si son pass SQL est egal au pass fournit dans le formulaire. Cette methode est totalement sécurisée et empeche de s'authentifier sans mot de passe, non ?

Je pense que tu mélange Oracle et MySQL

1/ le caractere de commentaire est # pour MySQL, -- pour Oracle
2/ mysql_real_escape_string() ajoute des / devant les caractères "dangereux" alors qu'avec Oracle, il suffit de doubler les '

1/ MySQL accepte ces trois syntaxes : #, -- et /* ... */ pour les commentaires, du moins la version 5 que j ai entre les mains.

2/ mysql_real_escape_string() double les apostrophes.

1/ MySQL accepte ces trois syntaxes : #, -- et /* ... */ pour les commentaires, du moins la version 5 que j ai entre les mains.

Ah, tiens ... Je ne peut te contredire pour la bonne raison que j'était persuadé de ça et que j'ai jamais testé autre chose

2/ mysql_real_escape_string() double les apostrophes.

là, par contre, je ne voit rien dans la doc qui me confirme tes dires

... MySQL accepte ces trois syntaxes : #, -- et /* ... */ pour les commentaires, du moins la version 5 que j ai entre les mains...

Suffit de regarder dans la doc