Blinder sa base de donnée en php...

Linkid · 27 Mai 2006

Bonjour, je suis en train de faire un script php de blog et je me demandais comment blinder ma base de donnée pour ne pas qu'on me supprime des tables...
Je ne connais pas beaucoup de fonction php le permettant, alors si vous pourriez les dire ici et les expliquer un peu, ça arrangerait tout le monde...

Merci !

petit-ourson · 27 Mai 2006

Euh normalement si ton script est bien fait on ne peut pas supprimer tes tables.

Sinon tu peux jouer avec les droits SQL (mais faut que tu puisses le faire sur ton serveur).

http://dev.mysql.com/doc/refman/5.0/en/grant.html

Zim' · 27 Mai 2006

comment pourrait-on supprimer des tables si ton script php ne comporte pas de failles le permettant?

spidetra · 27 Mai 2006

injection sql

Grantome · 27 Mai 2006

http://www.phpsecure.info/v2/article/InjSql.php

Linkid · 27 Mai 2006

Et en clair, vous ne pourriez pas m'expliquer quelques fonctions utiles, comme par exemple htmlentities,...

Zim' · 27 Mai 2006

bah il y a pas vraiment de fonctions utile, mais il faut bien vérifier certaines choses avec tout opération sur tes données, ou sur ta base...

is_numeric, mysql_real_escape_string, addslashes, stripslashes et j'en passe

il faut tout connaitre ce genres de fonctions pour se prémunir contre des attaques par injection... entre autres!

thierry8 · 27 Mai 2006

Linkid a dit:
Et en clair, vous ne pourriez pas m'expliquer quelques fonctions utiles, comme par exemple htmlentities,...

Pourquoi devrions nous l'expliquer alors que le groupe PHP met en ligne une documentation super pratique !!

htmlentities()

spidetra · 27 Mai 2006

Les wrinautes experts en Php pourront t'indiquer les traitements spécifiques à appliquer à toutes les données que tu doit intégrer dans une db.

La règle de base est de ne faire confiance à aucun systèmes extérieur.

1. Les données saisies dans les formulaires par tes visiteurs. c'est le cas le plus classique. Des wrinautes t'expliqueront comment filtrer ces données.

2. les manipulations des en-têtes HTTP. Ex : WorPress <= 1.5.2 est sensible à une injection SQL par manipulation du User Agent lors des posts de commentaires. Il faut aussi filtrer ces données si tu désire les insérer dans ta db.

3. Ne pas faire confiance à un système externe pour gérer ta sécurité. Ex : AdoDB en Php.
La combinaison Ado Db < 4.71 et PostGreSql est sensible aux injections SQL.

4. S'assurer que les versions de Php utilisé par ton hébergeur fixe les principales failles de sécurité.
Php4 < 4.4.2 et Php5 < 5.1.2 sont sensibles à des attaques de type XSS par manipulation des en-têtes HTTP + exploitation d'une faille dans la gestion des messages d'erreurs de l'extension mysqli.

La sécurité est un sujet complexe et vaste.
Les liens donnés te permettent déjà de te familiariser avec différents type d'attaque et comment les contrer.
Perso, je ne suis ni expert en Php, ni expert en sécurité pour te donner des infos plus pratiques. désolé.

LE conseil indispensable pour sécuriser ta base de donnée.
Fait des sauvegardes quotidiennes de ta base.

thierry8 · 27 Mai 2006

spidetra a dit:
LE conseil indispensable pour sécuriser ta base de donnée.
Fait des sauvegardes quotidiennes de ta base.

Oui, B.A.BA très souvent oublié, ou négligé par les webmasters.
Lorsque ça tombe, ça fait mal, très mal.

Szarah · 27 Mai 2006

ET tester au moins une fois que la restauration fonctionne ...

Arf

Linkid · 27 Mai 2006

Mais c'est surtout pour les mots de passe que ça m'inquiète... car si quelqu'un a un script permettant de décoder les mdp, je suis mal !

Sinon, merci pour les astuces !

Linkid · 27 Mai 2006

Szarah a dit:
ET tester au moins une fois que la restauration fonctionne ...

Arf

La restauration ? quelle restauration ?

spidetra · 27 Mai 2006

Linkid a dit:
Mais c'est surtout pour les mots de passe que ça m'inquiète... car si quelqu'un a un script permettant de décoder les mdp, je suis mal !

Sinon, merci pour les astuces !

Pour les mots de passe, la technique la plus classique se nomme : "grain de sel".
Tu utilise SHA1 pour coder tes mots de passe et pas MD5.
J'ai fait un post sur le "grain de sel", si je le retrouve, je t'envoie le lien. J'ai la flemme de le réecrire.

Szarah · 27 Mai 2006

Tu peux faire dix sauvegardes par jour, ça ne sert à rien s'il n'est pas possible de la restaurer proprement ... et ça arrive

spidetra · 27 Mai 2006

Linkid a dit:
Szarah a dit:

ET tester au moins une fois que la restauration fonctionne ...

Arf

Cliquez pour agrandir...

La restauration ? quelle restauration ?

La restauration des sauvegardes de tes bases de données.

spidetra · 27 Mai 2006

Un petit grain de sel

dans ce post on parle de MD5 car c'était le sujet. Mais préfère SHA1 à MD5.
L'algo donné est simpliste. Fait des recherches pour l'améliorer

Robinson · 27 Mai 2006

Pour is_numeric à la réception d'un formulaire, n'est-ce pas plus simple et autant efficace de faire un :

Code:

$valeur = $_GET['valeur']+1-1;

?

thierry8 · 27 Mai 2006

Robinson a dit:
Pour is_numeric à la réception d'un formulaire, n'est-ce pas plus simple et autant efficace de faire un :

Code:

$valeur = $_GET['valeur']+1-1;

?

quel intérêt ?

Robinson · 27 Mai 2006

Quel intérêt ?

Bah personnellement, lorsque je code, je vais au plus simple et au plus rapide et de taper +1-1 est pour moi beaucoup plus rapide que d'écrire is_numeric(....) dans une condition.

+1-1 transforme la valeur en numérique si ce n'est pas le cas.

thierry8 · 27 Mai 2006

Robinson a dit:
Quel intérêt ?

Bah personnellement, lorsque je code, je vais au plus simple et au plus rapide et de taper +1-1 est pour moi beaucoup plus rapide que d'écrire is_numeric(....) dans une condition.

+1-1 transforme la valeur en numérique si ce n'est pas le cas.

hum...
pour la question de rapidité, moi je tappe is + CTRL J et je sélectionne le bon est c'est good..m'enfin le principale est que tout le monde y trouve son compte. Mais il me semble tout de même plus sur de tester avec une fonction adaptée pour..

Et la fonction is_numeric() est également utile lorsque l'on ne sait pas quel type l'on va réceptionner...afin de justement savoir et pouvoir continuer le traitement en fonction de cela...car danc certains cas il est possible de réceptionner sur une même variable des types différents. Là, is_numeric() et les autres sont nécessaires. :wink:

Robinson · 27 Mai 2006

erfff moi je développe avec gedit

(bloc-notes sous linux)

Et je n'utilise que des entiers via les formulaires, ainsi que dans mes bases de données. Donc pour moi c'est le plus rapide mais c'est vrai que chacun développe en fonction de ses besoins.

Bref, tout ça pour dire que +1-1, c'est basique mais ça suffit à se protéger.