Vulnérabilité SQL

Vulnérabilité SQL - PHP - Programmation

Marsh Posté le 16-11-2010 à 23:51:36    

Bonjour,
 
J'ai reçu par mail le message d'un hacker m'indiquant que le site présentait une vulnérabilité SQL. Je voulais savoir si cet appel à la base de données était potentiellement vulnérable :
 
$host = "aaaaa";
$user = "bbbbb";
$pass = "ccccc";
$bdd = "ddddd";
mysql_connect($host,$user,$pass)
   or die("Impossible de se connecter" );
@mysql_select_db("$bdd" )
   or die("Impossible de se connecter" );
 
Je précise que ce code figure dans une page php incluse dans chaque page du site nécessitant l'appel à la base de données.
 
D'avance merci...

Reply

Marsh Posté le 16-11-2010 à 23:51:36   

Reply

Marsh Posté le 17-11-2010 à 09:30:22    

ce n'est pas à la connection qu'il y a un problème, mais plutôt lors des requêtes  
est ce que parfois tu utilises des données qui viennent de $_POST ou $_GET dans une requête ?

Reply

Marsh Posté le 17-11-2010 à 09:52:10    

Oui, j'ai plusieurs formulaires (newsletter, jeux) et des pages du type "actu.php?id=17043" ou encore "artistes.php?search=&page=15"... Si ce n'est pas à la connection que ça pose problème, dois-je fouiller du côté des injections et autres failles liées aux formulaires (mysql_real_escape_string, htmlentities) ?

Reply

Marsh Posté le 17-11-2010 à 12:09:37    

oui , c'est de ce côté que tu devrais regarder

 

mysql_real_escape_string , ou les requetes préparées


Message édité par flo850 le 17-11-2010 à 12:09:50
Reply

Marsh Posté le 17-11-2010 à 23:54:25    

[:cbrs]  
Français : conneXion
Anglais : conneCTion
 
</capelo>
 
Sinon a partir du moment où une variable est potentiellement modifiable par l'utilisateur, càd post/get/cookie/server (certaines entrées), faut obligatoirement la vérifier.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 22-11-2010 à 22:20:06    

Avec PHP, il faut toujours faire attention à la sécurité, surtout en cas de formulaires ou de traitements de variables serveur.
 
A mon avis, un petit tour ici : http://php.net/manual/fr/security.database.php ne pourra pas faire de mal :) !


---------------
Blog - Formation informatique en Belgique et en France
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed