Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages :: 1
#1 15-07-2011 20:49:39
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
faille sql
voila, j'ai je pesque terminé la 1er version de mon site... comme je lis souvent des trucs sur les failles sql je voudrais savoir si quelqu'un peut m'en dire plus ou plutôt comment puis-je faire pour tester mon site ?
Hors ligne
#2 15-07-2011 21:17:17
Re : faille sql
Bonsoir,
En général, les failles sont issues de la non vigilance des développeurs qui pensent que "tout le monde est gentil" et qui ne prennent pas de précaution dans la structure de leur code. Ainsi certaines personnes profitent de ce "laxisme relatif/subjectif" dans le code de certaines applications pour en détourner l'usage.
En conséquence tu as deux possibilités : 1) Soit tu lis beaucoup à ce sujet et tu consolides ton code au cas par cas, 2) soit tu lis ceci et normalement si tu l'appliques bien, tu devrais te mettre à l'abri de ce genre de choses.
Conseil supplémentaire : Dans tous les cas, faut lire quand même 
c'est toujours utile, et ca fait avancer les choses, et donne un autre point de vue ainsi qu'une autre approche des technologies.
Bonne continuation.
Dernière modification par Jc (15-07-2011 21:18:52)
POO PHP+Ajax en MVC avec PDO et Bases de données épaisses : What else?
Hors ligne
#3 15-07-2011 22:03:23
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
rigueur, réflexion et volonté, je suis tout a fait d'accord avec toi mais comme j'ai tout a apprendre alors je commence par ce que j'ai besoin.
Je sais que ce n'est pas la meilleur solution pour apprendre mais j'ai du mal a comprendre. j'ai besoin de manipuler, j'ai apris et compris beaucoup plus de truc depuis que je suis sur ce site qu'en lisant de nombreuses fois le site du zero qui pourtant est très bien fait.
ce qui est dur c'est qu'avant de manipuler le code il faut connaitre et comprendre beaucoup de chose et quand et quand l'heure de faire du code arrive, je suis toujours aussi perdu...
donc ma méthode a moi pour l'instant est de prendre un code pour le faire marche sur mon site. une fois qu'il marche, je travail dessus, je fait des test pour comprendre les choses et quand je le modifie comme je le veux, je ne fait plus de copier coller pour apprendre a écrire...
pour finir, mais je pense que tu l'auras compris, je suis incapable d'anticiper les choses: ça viendras !
Hors ligne
#4 15-07-2011 22:11:33
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
ya t il des failles a laisser les membres utiliser tinymce pour passer des annonces ?
Hors ligne
#5 15-07-2011 22:12:21
Re : faille sql
Bonsoir,
Message entendu
Donc à la question "comment puis-je faire pour tester mon site?" je répondrai : fait le utiliser par quelqu'un qui n'y comprends rien, tu verras tu seras surpris. Ils sont champions pour utiliser les choses mises à leur disposition d'une manière que tu n'avais pas prévue et qui par conséquent auront un fonctionnement erratique.
Dernière modification par Jc (15-07-2011 22:13:02)
POO PHP+Ajax en MVC avec PDO et Bases de données épaisses : What else?
Hors ligne
#6 15-07-2011 22:16:06
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
aie, déjà ça me fait peur 
mais je vais le faire, je cherche des testeur des demain.
Hors ligne
#7 16-07-2011 11:06:30
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
re salut, je crois que j'en ai déjà une, ça na pas tarder
si un utilisateur enregistre un pseudo avec ' (ex: steeve'r), la connexion fonctionne mais au moment de la validation, erreur qui me dit: un autre utilisateur utilise le même pseudo...
voici mon code:
if(mysql_query('update users set password="'.$password.'", email="'.$email.'", description="'.$description.'" where id="'.mysql_real_escape_string($_SESSION['userid']).'"'))
{
.................
}
else
{
//Sinon, on dit que le pseudo voulu est deja pris
$form = true;
$message = '<center><font color="red">Un autre utilisateur utilise déjà le nom d\'utilisateur que vous désirez utiliser.</font></center>';
}
Dernière modification par steeve (16-07-2011 11:08:07)
Hors ligne
#8 16-07-2011 11:51:20
- Pierrot
- Ancien nouveau
- Inscription : 08-05-2009
- Messages : 1 195
Re : faille sql
pdo bien utiliser évite bien des problèmes:)
exit les mysql_real_escape_string, html_entiti ...........................
a++
Hors ligne
#9 16-07-2011 12:28:24
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
je ne suis pas sur de comprendre, est ce que tu me dis de supprimer les mysql_real_escape_string, html_entiti au moment de l'enregistrement ?
Hors ligne
#10 16-07-2011 13:26:16
- steeve
- Membre
- Inscription : 16-06-2011
- Messages : 103
Re : faille sql
en fait, le soucis est ailleurs, je ne peut pas modifier le pseudo mais j'ai tester toutes sorte de symbole et caractère dans les autres champs et ça fonctionne correctement...
Dernière modification par steeve (16-07-2011 13:42:52)
Hors ligne
#11 16-07-2011 14:23:36
- Pierrot
- Ancien nouveau
- Inscription : 08-05-2009
- Messages : 1 195
Re : faille sql
>> est ce que tu me dis de supprimer les mysql_real_escape_string, html_entiti au moment de l'enregistrement ?
en utilisant PDO, oui
a++
Hors ligne
Pages :: 1