Faire le point sur les saisies de formulaire et résoudre les failles de sécurité. - Forums de discussion
Navigation
Accueil du forum » PHP » Faire le point sur les saisies de formulaire et résoudre les failles de sécurité.
Le sujet
Faire le point sur les saisies de formulaire et résoudre les failles de sécurité.Par ico, le Mercredi 26/04/2006 à 08h32'10
437 messages
Bonjour tout le monde.
Je fais remplir comme bon nombre de site des données qui sont transmises par requête SQL au serveur. Je fais le point actuellement sur les failles concernant les saisies utilisateur de mon site.
Cela me donne pour une saisie pseudo :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans ico-19 ou ico_19)
Et la je n’en voie pas d’autre.
Cela me donne pour une saisie passe :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans toto_21348 ou toto-3527)
Et la je n’en voie pas d’autre.
Idem pour la confirmation du mot de passe.
Cela me donne pour une saisie mail:
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- On est obliger d’accepter les caractères spéciaux mais alors par rapport a la rejection SQL on ouvre une faille !!!
Et la je n’en voie pas d’autre.
Est-ce que quelqu’un peut me dire si j’ai d’autres tests à effectuer !
Et puis ensuite je réglerais le cas des failles notamment par rapport à la rejection SQL.
Merci beaucoup pour vôtre aide.
Amitiés.
Je fais remplir comme bon nombre de site des données qui sont transmises par requête SQL au serveur. Je fais le point actuellement sur les failles concernant les saisies utilisateur de mon site.
Cela me donne pour une saisie pseudo :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans ico-19 ou ico_19)
Et la je n’en voie pas d’autre.
Cela me donne pour une saisie passe :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans toto_21348 ou toto-3527)
Et la je n’en voie pas d’autre.
Idem pour la confirmation du mot de passe.
Cela me donne pour une saisie mail:
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- On est obliger d’accepter les caractères spéciaux mais alors par rapport a la rejection SQL on ouvre une faille !!!
Et la je n’en voie pas d’autre.
Est-ce que quelqu’un peut me dire si j’ai d’autres tests à effectuer !
Et puis ensuite je réglerais le cas des failles notamment par rapport à la rejection SQL.
Merci beaucoup pour vôtre aide.
Amitiés.
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
Les réponses
Il reste une possibilité faire un jeu de regex qui analyse la saisie et remplace certains caractères lorsque c'est pas valide. Il reste aussi la possibilité de virer le poste et d'avertir l'administrateur qui se chargera au final de corrigé cela.
Ps: pour les regex, http://www.expreg.com . Il y a a nouveau un forum, espérons que tu y trouvera un bon nombre d'informations.
[Message édité par ico le 15/08/2006 à 11h16'04]
Ps: pour les regex, http://www.expreg.com . Il y a a nouveau un forum, espérons que tu y trouvera un bon nombre d'informations.
[Message édité par ico le 15/08/2006 à 11h16'04]
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
En fait, j'ai décidé de pas m'embêter, j'envoie la phrase à l'admin et pas dans la base et l'admin a juste à vérifier si la phrase n'est pas une requête.
Ca évite tous les problèmes je pense.
Ca évite tous les problèmes je pense.
________________
Anything that can go wrong will go wrong (Murphy)
Statut: 
Modérateur
Ah oui c'est une idée mais ca demmande d'être la souvent ...
Enfin c'est une idée
Bon courage
Enfin c'est une idée
Bon courage
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
Pages
A lire également
- Les conditions générales d'utilisation du site
Top-sites membres
Discussions récentes dans les forums
| Sujet | Forum |
|---|---|
 Echange de liens site depannage informatique.Sujet posté par depanmonpc le 07/01/2009 à 16h48'11 |
 |
 Re: compression d'imagesRéponse postée par xerses le 07/01/2009 à 00h29'37 |
 |
 Re: IE 7 VS Firefox 2Réponse postée par tieno le 04/01/2009 à 18h05'36 |
 |
| Re: Espace-Membre : pb connexion Réponse postée par root le 02/01/2009 à 16h47'50 |
 |
| Re: probleme de fenêtre [Réglé] Réponse postée par xerses le 01/01/2009 à 20h16'20 |
 |
| Re: liens , sport Mécanique Réponse postée par ced51 le 27/12/2008 à 12h18'48 |
|
| pages Sujet posté par ced51 le 26/12/2008 à 17h44'42 |
 |
 joyeux_noel._gp.ppsSujet posté par rer le 24/12/2008 à 10h08'30 |
 |
| serveur à domicile facile et gratuit Sujet posté par rer le 11/12/2008 à 14h57'56 |
|
 Re: probleme functionRéponse postée par raptor le 11/12/2008 à 09h25'52 |
|
Tribune libre
CNIL: 1098091
Connectés: 24
Connectés: 24