Faire le point sur les saisies de formulaire et résoudre les failles de sécurité. - Forums de discussion
Navigation
Accueil du forum » PHP » Faire le point sur les saisies de formulaire et résoudre les failles de sécurité.
Le sujet
Faire le point sur les saisies de formulaire et résoudre les failles de sécurité.Par ico, le Mercredi 26/04/2006 à 08h32'10
437 messages
Bonjour tout le monde.
Je fais remplir comme bon nombre de site des données qui sont transmises par requête SQL au serveur. Je fais le point actuellement sur les failles concernant les saisies utilisateur de mon site.
Cela me donne pour une saisie pseudo :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans ico-19 ou ico_19)
Et la je n’en voie pas d’autre.
Cela me donne pour une saisie passe :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans toto_21348 ou toto-3527)
Et la je n’en voie pas d’autre.
Idem pour la confirmation du mot de passe.
Cela me donne pour une saisie mail:
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- On est obliger d’accepter les caractères spéciaux mais alors par rapport a la rejection SQL on ouvre une faille !!!
Et la je n’en voie pas d’autre.
Est-ce que quelqu’un peut me dire si j’ai d’autres tests à effectuer !
Et puis ensuite je réglerais le cas des failles notamment par rapport à la rejection SQL.
Merci beaucoup pour vôtre aide.
Amitiés.
Je fais remplir comme bon nombre de site des données qui sont transmises par requête SQL au serveur. Je fais le point actuellement sur les failles concernant les saisies utilisateur de mon site.
Cela me donne pour une saisie pseudo :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans ico-19 ou ico_19)
Et la je n’en voie pas d’autre.
Cela me donne pour une saisie passe :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans toto_21348 ou toto-3527)
Et la je n’en voie pas d’autre.
Idem pour la confirmation du mot de passe.
Cela me donne pour une saisie mail:
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- On est obliger d’accepter les caractères spéciaux mais alors par rapport a la rejection SQL on ouvre une faille !!!
Et la je n’en voie pas d’autre.
Est-ce que quelqu’un peut me dire si j’ai d’autres tests à effectuer !
Et puis ensuite je réglerais le cas des failles notamment par rapport à la rejection SQL.
Merci beaucoup pour vôtre aide.
Amitiés.
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
Les réponses
Il reste une possibilité faire un jeu de regex qui analyse la saisie et remplace certains caractères lorsque c'est pas valide. Il reste aussi la possibilité de virer le poste et d'avertir l'administrateur qui se chargera au final de corrigé cela.
Ps: pour les regex, http://www.expreg.com . Il y a a nouveau un forum, espérons que tu y trouvera un bon nombre d'informations.
[Message édité par ico le 15/08/2006 à 11h16'04]
Ps: pour les regex, http://www.expreg.com . Il y a a nouveau un forum, espérons que tu y trouvera un bon nombre d'informations.
[Message édité par ico le 15/08/2006 à 11h16'04]
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
En fait, j'ai décidé de pas m'embêter, j'envoie la phrase à l'admin et pas dans la base et l'admin a juste à vérifier si la phrase n'est pas une requête.
Ca évite tous les problèmes je pense.
Ca évite tous les problèmes je pense.
________________
Anything that can go wrong will go wrong (Murphy)
Statut: 
Modérateur
Ah oui c'est une idée mais ca demmande d'être la souvent ...
Enfin c'est une idée
Bon courage
Enfin c'est une idée
Bon courage
________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)
Pages
A lire également
- Les conditions générales d'utilisation du site
Top-sites membres
Discussions récentes dans les forums
| Sujet | Forum |
|---|---|
 Echange De LiensSujet posté par touret le 13/11/2008 à 08h58'09 |
 |
 Re: espace membres 1.2Réponse postée par xerses le 09/11/2008 à 18h57'14 |
 |
| Re: Le jeu flash : Hélico Réponse postée par xerses le 05/11/2008 à 23h53'47 |
 |
 Re: Vous cherchez un travail simple sur Internet ?Réponse postée par unit le 03/11/2008 à 15h53'53 |
 |
 Re: Un ptit jeuRéponse postée par froogy le 26/10/2008 à 16h40'03 |
|
 Re: Sarbacane ou html ?Réponse postée par rer le 23/10/2008 à 16h11'03 |
 |
 Re: Clic droit interdit [Réglé]Réponse postée par 1cyril le 19/10/2008 à 19h26'02 |
|
| Re: Espace-Membre : pb connexion Réponse postée par xerses le 13/10/2008 à 12h41'06 |
|
| Espace-Membre : pb URL's [Réglé] Sujet posté par toutsi83 le 07/10/2008 à 12h33'17 |
|
| [Travail Rémunéré] 7 designs salon coiffure Sujet posté par roucroune le 03/10/2008 à 20h01'26 |
 |
Tribune libre
CNIL: 1098091
Connectés: 33
Connectés: 33