PHP|Débutant :: Forums

Advertisement

Besoin d'aide ? N'hésitez pas, mais respectez les règles

Vous n'êtes pas identifié(e).

#1 15-07-2011 20:49:39

steeve
Membre
Inscription : 16-06-2011
Messages : 103

faille sql

voila, j'ai je pesque terminé la 1er version de mon site... comme je lis souvent des trucs sur les failles sql je voudrais savoir si quelqu'un peut m'en dire plus ou plutôt comment puis-je faire pour tester mon site ?

Hors ligne

#2 15-07-2011 21:17:17

Jc
Membre
Lieu : Zillisheim - Alsace
Inscription : 15-04-2010
Messages : 1 629
Site Web

Re : faille sql

Bonsoir,

En général, les failles sont issues de la non vigilance des développeurs qui pensent que "tout le monde est gentil" et qui ne prennent pas de précaution dans la structure de leur code. Ainsi certaines personnes profitent de ce "laxisme relatif/subjectif" dans le code de certaines applications pour en détourner l'usage.
En conséquence tu as deux possibilités : 1) Soit tu lis beaucoup à ce sujet et tu consolides ton code au cas par cas, 2) soit tu lis ceci et normalement si tu l'appliques bien, tu devrais te mettre à l'abri de ce genre de choses.

Conseil supplémentaire : Dans tous les cas, faut lire quand même wink c'est toujours utile, et ca fait avancer les choses, et donne un autre point de vue ainsi qu'une autre approche des technologies.

Bonne continuation.

Dernière modification par Jc (15-07-2011 21:18:52)


POO PHP+Ajax en MVC avec PDO et Bases de données épaisses  : What else?

Hors ligne

#3 15-07-2011 22:03:23

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

rigueur, réflexion et volonté, je suis tout a fait d'accord avec toi mais comme j'ai tout a apprendre alors je commence par ce que j'ai besoin.
Je sais que ce n'est pas la meilleur solution pour apprendre mais j'ai du mal a comprendre. j'ai besoin de manipuler, j'ai apris et compris beaucoup plus de truc depuis que je suis sur ce site qu'en lisant de nombreuses fois le site du zero qui pourtant est très bien fait.
ce qui est dur c'est qu'avant de manipuler le code il faut connaitre et comprendre beaucoup de chose et quand et quand l'heure de faire du code arrive, je suis toujours aussi perdu...

donc ma méthode a moi pour l'instant est de prendre un code pour le faire marche sur mon site. une fois qu'il marche, je travail dessus, je fait des test pour comprendre les choses et quand je le modifie comme je le veux, je ne fait plus de copier coller pour apprendre a écrire...
pour finir, mais je pense que tu l'auras compris, je suis incapable d'anticiper les choses: ça viendras !

Hors ligne

#4 15-07-2011 22:11:33

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

ya t il des failles a laisser les membres utiliser tinymce pour passer des annonces ?

Hors ligne

#5 15-07-2011 22:12:21

Jc
Membre
Lieu : Zillisheim - Alsace
Inscription : 15-04-2010
Messages : 1 629
Site Web

Re : faille sql

Bonsoir,

Message entendu wink
Donc à la question "comment puis-je faire pour tester mon site?" je répondrai : fait le utiliser par quelqu'un qui n'y comprends rien, tu verras tu seras surpris. Ils sont champions pour utiliser les choses mises à leur disposition d'une manière que tu n'avais pas prévue et qui par conséquent auront un fonctionnement erratique.

Dernière modification par Jc (15-07-2011 22:13:02)


POO PHP+Ajax en MVC avec PDO et Bases de données épaisses  : What else?

Hors ligne

#6 15-07-2011 22:16:06

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

aie, déjà ça me fait peur yikes mais je vais le faire, je cherche des testeur des demain.

Hors ligne

#7 16-07-2011 11:06:30

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

re salut, je crois que j'en ai déjà une, ça na pas tarder

si un utilisateur enregistre un pseudo avec ' (ex: steeve'r), la connexion fonctionne mais au moment de la validation, erreur qui me dit: un autre utilisateur utilise le même pseudo...

voici mon code:

//On modifie les informations de lutilisateur avec les nouvelles
            if(mysql_query('update users set  password="'.$password.'", email="'.$email.'", description="'.$description.'" where id="'.mysql_real_escape_string($_SESSION['userid']).'"'))
            {

.................

            }
          else
          {
            //Sinon, on dit que le pseudo voulu est deja pris
            $form = true;
            $message = '<center><font color="red">Un autre utilisateur utilise déjà le nom d\'utilisateur que vous désirez utiliser.</font></center>';
          }

Dernière modification par steeve (16-07-2011 11:08:07)

Hors ligne

#8 16-07-2011 11:51:20

Pierrot
Ancien nouveau
Inscription : 08-05-2009
Messages : 1 195

Re : faille sql

pdo bien utiliser évite bien des problèmes:)
exit les mysql_real_escape_string, html_entiti ...........................

a++

Hors ligne

#9 16-07-2011 12:28:24

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

je ne suis pas sur de comprendre, est ce que tu me dis de supprimer les mysql_real_escape_string, html_entiti au moment de l'enregistrement ?

Hors ligne

#10 16-07-2011 13:26:16

steeve
Membre
Inscription : 16-06-2011
Messages : 103

Re : faille sql

en fait, le soucis est ailleurs, je ne peut pas modifier le pseudo mais j'ai tester toutes sorte de symbole et caractère dans les autres champs et ça fonctionne correctement...

Dernière modification par steeve (16-07-2011 13:42:52)

Hors ligne

#11 16-07-2011 14:23:36

Pierrot
Ancien nouveau
Inscription : 08-05-2009
Messages : 1 195

Re : faille sql

>> est ce que tu me dis de supprimer les mysql_real_escape_string, html_entiti au moment de l'enregistrement ?

en utilisant PDO, oui wink
a++

Hors ligne

Pied de page des forums