Vulnérabilité SQL - PHP - Programmation
Marsh Posté le 17-11-2010 à 09:30:22
ce n'est pas à la connection qu'il y a un problème, mais plutôt lors des requêtes
est ce que parfois tu utilises des données qui viennent de $_POST ou $_GET dans une requête ?
Marsh Posté le 17-11-2010 à 09:52:10
Oui, j'ai plusieurs formulaires (newsletter, jeux) et des pages du type "actu.php?id=17043" ou encore "artistes.php?search=&page=15"... Si ce n'est pas à la connection que ça pose problème, dois-je fouiller du côté des injections et autres failles liées aux formulaires (mysql_real_escape_string, htmlentities) ?
Marsh Posté le 17-11-2010 à 12:09:37
oui , c'est de ce côté que tu devrais regarder
mysql_real_escape_string , ou les requetes préparées
Marsh Posté le 17-11-2010 à 23:54:25
Français : conneXion
Anglais : conneCTion
</capelo>
Sinon a partir du moment où une variable est potentiellement modifiable par l'utilisateur, càd post/get/cookie/server (certaines entrées), faut obligatoirement la vérifier.
Marsh Posté le 22-11-2010 à 22:20:06
Avec PHP, il faut toujours faire attention à la sécurité, surtout en cas de formulaires ou de traitements de variables serveur.
A mon avis, un petit tour ici : http://php.net/manual/fr/security.database.php ne pourra pas faire de mal !
Marsh Posté le 16-11-2010 à 23:51:36
Bonjour,
J'ai reçu par mail le message d'un hacker m'indiquant que le site présentait une vulnérabilité SQL. Je voulais savoir si cet appel à la base de données était potentiellement vulnérable :
$host = "aaaaa";
$user = "bbbbb";
$pass = "ccccc";
$bdd = "ddddd";
mysql_connect($host,$user,$pass)
or die("Impossible de se connecter" );
@mysql_select_db("$bdd" )
or die("Impossible de se connecter" );
Je précise que ce code figure dans une page php incluse dans chaque page du site nécessitant l'appel à la base de données.
D'avance merci...