Faire le point sur les saisies de formulaire et résoudre les failles de sécurité. - Forums de discussion

Navigation

Accueil du forum » PHP » Faire le point sur les saisies de formulaire et résoudre les failles de sécurité.


Le sujet

icoFaire le point sur les saisies de formulaire et résoudre les failles de sécurité.
Par ico, le Mercredi 26/04/2006 à 08h32'10
437 messages
Bonjour tout le monde.
Je fais remplir comme bon nombre de site des données qui sont transmises par requête SQL au serveur. Je fais le point actuellement sur les failles concernant les saisies utilisateur de mon site.

Cela me donne pour une saisie pseudo :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans ico-19 ou ico_19)
Et la je n’en voie pas d’autre.

Cela me donne pour une saisie passe :
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- Si on n’a aucun caractères spéciaux hormis le _ ou le – (dans toto_21348 ou toto-3527)
Et la je n’en voie pas d’autre.

Idem pour la confirmation du mot de passe.

Cela me donne pour une saisie mail:
- Si le champ est plein
- Si le champ contient des caractères alphanumériques
- Si le champ ne contient pas de code type html
- Si le champ ne contient pas de code type rejection SQL
- On est obliger d’accepter les caractères spéciaux mais alors par rapport a la rejection SQL on ouvre une faille !!!
Et la je n’en voie pas d’autre.


Est-ce que quelqu’un peut me dire si j’ai d’autres tests à effectuer !
Et puis ensuite je réglerais le cas des failles notamment par rapport à la rejection SQL.

Merci beaucoup pour vôtre aide.
Amitiés.

________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)

Les réponses

icoPar ico, le Mardi 15/08/2006 à 11h15'21
437 messages
Il reste une possibilité faire un jeu de regex qui analyse la saisie et remplace certains caractères lorsque c'est pas valide. Il reste aussi la possibilité de virer le poste et d'avertir l'administrateur qui se chargera au final de corrigé cela.

Ps: pour les regex, http://www.expreg.com . Il y a a nouveau un forum, espérons que tu y trouvera un bon nombre d'informations.

[Message édité par ico le 15/08/2006 à 11h16'04]

________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)

xersesPar xerses, le Mardi 15/08/2006 à 14h13'10
733 messages
En fait, j'ai décidé de pas m'embêter, j'envoie la phrase à l'admin et pas dans la base et l'admin a juste à vérifier si la phrase n'est pas une requête.

Ca évite tous les problèmes je pense.

________________
Anything that can go wrong will go wrong (Murphy)
Statut: Modérateur

icoPar ico, le Mardi 15/08/2006 à 20h02'47
437 messages
Ah oui c'est une idée mais ca demmande d'être la souvent ...

Enfin c'est une idée

Bon courage

________________
"L'homme a l'avenir devant lui et il l'aura dans le dos chaque fois qu'il fera un demi tour!" (Pierre Dac)

Pages

Réponses les plus anciennes... 12 ...Réponses les plus récentes

A lire également

- Les conditions générales d'utilisation du site

Top-sites membres

Calitel, votre portail des loisirs multimédia | -27 pointsDame Tortue | -33 pointsBlogHotel - Hébergement de Blog gratuit | -56 pointsMéta Annuaire | -61 points

Discussions récentes dans les forums

Membres
Pseudo:
Pass: Mémoriser ?
Problème d'identificationInscription gratuite
Tribune libre
CNIL: 1098091
Connectés: 11
Google:
Publicité: Rencontre haute marne pour trouver l'amour avec une haut-marnaises.