|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
Linkid
WRInaute occasionnel
Inscrit le: 09 Mai 2006
Messages: 216
Localisation: France
|
 Posté le : Sam Mai 27, 2006 8:47 Sujet du message: Blinder sa base de donnée en php... |
|
|
Bonjour, je suis en train de faire un script php de blog et je me demandais comment blinder ma base de donnée pour ne pas qu'on me supprime des tables...
Je ne connais pas beaucoup de fonction php le permettant, alors si vous pourriez les dire ici et les expliquer un peu, ça arrangerait tout le monde...
Merci ! |
|
| |
|
 |
petit-ourson
WRInaute passionné
Inscrit le: 31 Mai 2004
Messages: 783
Localisation: Paris
|
| Posté le : Sam Mai 27, 2006 10:35 Sujet du message: Blinder sa base de donnée en php... |
|
|
Euh normalement si ton script est bien fait on ne peut pas supprimer tes tables.
Sinon tu peux jouer avec les droits SQL (mais faut que tu puisses le faire sur ton serveur).
http://dev.mysql.com/doc/refman/5.0/en/grant.html |
|
| |
|
|
Zim'
WRInaute passionné
Inscrit le: 27 Avr 2006
Messages: 804
Localisation: Euh... chez moi nulle part pour l'instant :-(
|
| Posté le : Sam Mai 27, 2006 10:46 Sujet du message: Blinder sa base de donnée en php... |
|
|
| comment pourrait-on supprimer des tables si ton script php ne comporte pas de failles le permettant? |
|
| |
|
|
spidetra
WRInaute accro
Inscrit le: 07 Juil 2003
Messages: 1499
Localisation: Toulouse
|
| Posté le : Sam Mai 27, 2006 12:05 Sujet du message: Blinder sa base de donnée en php... |
|
|
| injection sql |
|
| |
|
|
Grantome
WRInaute accro
Inscrit le: 16 Jan 2004
Messages: 2900
|
|
| |
|
|
Linkid
WRInaute occasionnel
Inscrit le: 09 Mai 2006
Messages: 216
Localisation: France
|
| Posté le : Sam Mai 27, 2006 12:50 Sujet du message: Blinder sa base de donnée en php... |
|
|
| Et en clair, vous ne pourriez pas m'expliquer quelques fonctions utiles, comme par exemple htmlentities,... |
|
| |
|
|
Zim'
WRInaute passionné
Inscrit le: 27 Avr 2006
Messages: 804
Localisation: Euh... chez moi nulle part pour l'instant :-(
|
| Posté le : Sam Mai 27, 2006 12:54 Sujet du message: Blinder sa base de donnée en php... |
|
|
bah il y a pas vraiment de fonctions utile, mais il faut bien vérifier certaines choses avec tout opération sur tes données, ou sur ta base...
is_numeric, mysql_real_escape_string, addslashes, stripslashes et j'en passe
il faut tout connaitre ce genres de fonctions pour se prémunir contre des attaques par injection... entre autres! |
|
| |
|
|
thierry8
WRInaute accro
Inscrit le: 11 Juil 2005
Messages: 3252
|
| Posté le : Sam Mai 27, 2006 13:14 Sujet du message: Blinder sa base de donnée en php... |
|
|
| Linkid a écrit: |
| Et en clair, vous ne pourriez pas m'expliquer quelques fonctions utiles, comme par exemple htmlentities,... |
Pourquoi devrions nous l'expliquer alors que le groupe PHP met en ligne une documentation super pratique !!
htmlentities() |
|
| |
|
|
spidetra
WRInaute accro
Inscrit le: 07 Juil 2003
Messages: 1499
Localisation: Toulouse
|
| Posté le : Sam Mai 27, 2006 13:26 Sujet du message: Blinder sa base de donnée en php... |
|
|
Les wrinautes experts en Php pourront t'indiquer les traitements spécifiques à appliquer à toutes les données que tu doit intégrer dans une db.
La règle de base est de ne faire confiance à aucun systèmes extérieur.
1. Les données saisies dans les formulaires par tes visiteurs. c'est le cas le plus classique. Des wrinautes t'expliqueront comment filtrer ces données.
2. les manipulations des en-têtes HTTP. Ex : WorPress <= 1.5.2 est sensible à une injection SQL par manipulation du User Agent lors des posts de commentaires. Il faut aussi filtrer ces données si tu désire les insérer dans ta db.
3. Ne pas faire confiance à un système externe pour gérer ta sécurité. Ex : AdoDB en Php.
La combinaison Ado Db < 4.71 et PostGreSql est sensible aux injections SQL.
4. S'assurer que les versions de Php utilisé par ton hébergeur fixe les principales failles de sécurité.
Php4 < 4.4.2 et Php5 < 5.1.2 sont sensibles à des attaques de type XSS par manipulation des en-têtes HTTP + exploitation d'une faille dans la gestion des messages d'erreurs de l'extension mysqli.
La sécurité est un sujet complexe et vaste.
Les liens donnés te permettent déjà de te familiariser avec différents type d'attaque et comment les contrer.
Perso, je ne suis ni expert en Php, ni expert en sécurité pour te donner des infos plus pratiques. désolé.
LE conseil indispensable pour sécuriser ta base de donnée.
Fait des sauvegardes quotidiennes de ta base. |
|
| |
|
|
thierry8
WRInaute accro
Inscrit le: 11 Juil 2005
Messages: 3252
|
| Posté le : Sam Mai 27, 2006 13:34 Sujet du message: Blinder sa base de donnée en php... |
|
|
| spidetra a écrit: |
LE conseil indispensable pour sécuriser ta base de donnée.
Fait des sauvegardes quotidiennes de ta base. |
Oui, B.A.BA très souvent oublié, ou négligé par les webmasters.
Lorsque ça tombe, ça fait mal, très mal. |
|
| |
|
|
Szarah
WRInaute accro
Inscrit le: 22 Fév 2006
Messages: 7447
|
| Posté le : Sam Mai 27, 2006 13:36 Sujet du message: Blinder sa base de donnée en php... |
|
|
ET tester au moins une fois que la restauration fonctionne ...
Arf  |
|
| |
|
|
Linkid
WRInaute occasionnel
Inscrit le: 09 Mai 2006
Messages: 216
Localisation: France
|
| Posté le : Sam Mai 27, 2006 13:36 Sujet du message: Blinder sa base de donnée en php... |
|
|
Mais c'est surtout pour les mots de passe que ça m'inquiète... car si quelqu'un a un script permettant de décoder les mdp, je suis mal !
Sinon, merci pour les astuces ! |
|
| |
|
|
Linkid
WRInaute occasionnel
Inscrit le: 09 Mai 2006
Messages: 216
Localisation: France
|
| Posté le : Sam Mai 27, 2006 13:37 Sujet du message: Blinder sa base de donnée en php... |
|
|
| Szarah a écrit: |
ET tester au moins une fois que la restauration fonctionne ...
Arf |
La restauration ? quelle restauration ? |
|
| |
|
|
spidetra
WRInaute accro
Inscrit le: 07 Juil 2003
Messages: 1499
Localisation: Toulouse
|
| Posté le : Sam Mai 27, 2006 13:39 Sujet du message: Blinder sa base de donnée en php... |
|
|
| Linkid a écrit: |
Mais c'est surtout pour les mots de passe que ça m'inquiète... car si quelqu'un a un script permettant de décoder les mdp, je suis mal !
Sinon, merci pour les astuces ! |
Pour les mots de passe, la technique la plus classique se nomme : "grain de sel".
Tu utilise SHA1 pour coder tes mots de passe et pas MD5.
J'ai fait un post sur le "grain de sel", si je le retrouve, je t'envoie le lien. J'ai la flemme de le réecrire. |
|
| |
|
|
Szarah
WRInaute accro
Inscrit le: 22 Fév 2006
Messages: 7447
|
| Posté le : Sam Mai 27, 2006 13:39 Sujet du message: Blinder sa base de donnée en php... |
|
|
| Tu peux faire dix sauvegardes par jour, ça ne sert à rien s'il n'est pas possible de la restaurer proprement ... et ça arrive |
|
| |
|
|
| |
|
|
