Forum d'entraide PHPFrance

Bonjour,

Je viens de m'attaquer à la sécurité des formulaires et des bases SQL.
Je n'y comprenais un peu rien mais à force de lire c'est devenu un peu plus clair.

Mais du coup j'ai vu des tas de façon de faire et je ne sais pas trop comment commencer.

Deja ma première question, on sécurise uniquement au POST/GET où il faut également sécuriser le champ formulaire.
( ex: <form action=\"adduser.php\" method=\"post\">)

Après donc, quoi utiliser ?
htmlenties, escape_string, les deux, j'en ai vu pas mal de diffèrents.

Il y a l'attaque par injection SQL, mais j'ai lu aussi qu'on pouvait entrer du html dans un champ formulaire pour y injecter du code.

J'aimerai en fait un petit résumé rapide de quoi sécuriser et avec quoi, je suis un peu perdu en fait.
J'ai tellement lu de trucs différents que je ne sais pas quel est la meilleur manière de faire.

htmlentities ne s'utilise pas lors de l'insertion en bdd.
Mais sert à éviter les injections de code à l'affichage.

Par contre mysql_real_escape_string elle sert à empêcher les injections SQL.

Donc la première lors de l'affichage, et la seconde lors de l'utilisation en requête.

Merci pour ta réponse

Donc escape string lors d'un post/get

htmlentities lors d'un echo c'est ça ?
Où de manière générale dès que l'on affiche quelque chose entré dans un formulaire ?

htmlentities() dans un cas comme celui là :

echo htmlentities($_POST['pseudo']);

je suis plus partisan du htmlspecialchars que de htmlentities, avec htmlentities il risque d'y avoir des soucis avec les caractères accentués

Ma dernière question, c'est sur un echo d'un POST/GET c'est ça ?

Où il faut également le mettre sur un echo $variable ?

Ma dernière question, c'est sur un echo d'un POST/GET c'est ça ?

Où il faut également le mettre sur un echo $variable ?

oui aussi

Bonjour,

J'ai fait ceci, j'aurais aimé savoir si c'est correct où si il manque des choses:

Cette partie là ( à la fin ) doit elle être sous htmlentities ?

salut

- if(isset mysql_real_escape_string($_POST['action']))){ <= heu y aune boulette la

Avertissement

isset() fonctionne uniquement avec des variables car l'utilisation de toute autre chose aura comme conséquence une erreur d'analyse. Pour vérifier si une constants est définie, utilisez la fonction defined().

donc if (isset ($_POST['action']))

- le isset est à faire aussi sur les 3 autres valeurs fournie par ton formulaire (tu ne peut être certain qu'elles existeront à l’exécution du script.
-$sq="select pseudo from membre where pseudo=\"$pseudo_membre\""; il est préférable d'utiliser la concaténation c'est un poil plus clair; de plus php peut ne pas trouver la bonne variable (où d'oit il s'arreter ? au "_" ou après ?)
donc $sq='select pseudo from membre where pseudo=\''.$pseudo_membre.'\'';
ou $sq="select pseudo from membre where pseudo=\"${pseudo_membre}\""; si tu tiens au " pour délimiter la chaine.
Il faut aussi savoir que la norme sql indique des ' pour délimiter une chaine de caractère et non des " même si ici cela fonctionne (si tu change de SGBD ça ne fonctionnera pas forcément, essai avec sql Server par exemple ).

- mysql_pconnect c'est a oublier, tu n'a pas forcément besoin d'une connection constante et cela peut engendrer des problèmes (certain hébergeur limite le nombre de connection simultanée au sgbd comme fera tu si ton site est pas mal visité ?)
- pour la dernière partie non pas de htmlentities sinon tu va afficher les balises et pas un formulaire ... d'ailleur elle devrait même pas être dans un echo, vu qu'il n'y a pas de php avec autant simplement le mettre hors d'un passage php
<?php
// blabla
else {
?>
<form ...> ....</form>
<?php
}
?>

- Perso je ne suis pas fan du javascript dans ce que tu en fait, il suffit de ne pas avoir activer JS pour ne pas avoir la redirection
deplus étant donné que le formulaire est sur la même page que la validation pourquoi ne pas profiter de la chose pour ré afficher le formulaire avec les infos déjà saisie et si tous est validé tu redirige vers une autre page avec header

@+

PS : utilise les balises bbcode pour poster du code c'est plus lisible

Merci beaucoup pour tes précieux conseils !!

En fait concernant le javascript, j'ai fait cela car je n'ai trouvé aucune solution qui fonctionnait pour le remplacer.

Avec les header j'avais des erreurs
Concrètement et à ma grande frustration, je n'ai pas réussis à faire une redirection automatique avec autre chose.

En théorie, il faudrait comme d'indique moogli, limiter l'utilisation du javascript pour être sur d'être compatible quelque soit la configuration du navigateur. Cependant depuis l'arrivée d'ajax et d'un nombre croissant de librairies javascript, les utilisateurs qui désactivent volontairement javascript sont de moins en moins nombreux car ils se privent de l'accès à un grand nombre de sites et de fonctionnalités...

Le header est utile dans le cas d'une redirection automatique (et pour qu'il fonctionne il ne faut strictement rien envoyer au navigateur avant de faire appel au header... donc non applicable si tu veux afficher un message de confirmation avant de rediriger l'utilisateur)

Pour une redirection automatique côté utilisateur et sans javascript, tu peux également utiliser le meta refresh en html