problèmes procédures stockées

Discussion dans 'Administration d'un site Web' créé par teamlulu, 9 Mars 2022.

  1. teamlulu
    teamlulu Nouveau WRInaute
    Inscrit:
    9 Mars 2022
    Messages:
    3
    J'aime reçus:
    0
    Bonjour je suis bloqué au niveau de la sécurisation de la connexion à mon site, je souhaite utiliser des procédures stockées pour sécuriser mes variables pseudo et mdp pour éviter l'injection sql
    j'ai fait un code qui est vulnérables aux injections et maintenant je cherche à le sécuriser .
    voila mon code qui est vulnérables aux injections sql :
    if(isset($_POST['envoi'])){
    if(!empty($_POST['pseudo']) AND !empty($_POST['mdp'])){
    $pseudo = $_POST['pseudo'];
    $mdp = $_POST['mdp'];
    $exec_recupUser = $bdd->query("SELECT count(*) FROM users
    WHERE pseudo = '".$pseudo."' AND mdp = '".$mdp."' ");
    $reponse = $exec_recupUser->fetchAll()[0];
    $count = $reponse['count(*)'];
    if($count!=0){
    header('Location: post_connexion.php');
    }else{
    echo "votre mot de passe ou pseudo est incorrect";
    }

    }else{
    echo"veuillez renseignez tous les champs...";
    }
    }

    je voudrais créer une procédures stockée pour sécuriser mes 2 variables mais je n'y arrive pas du tout
     
  2. ABCWEB
    ABCWEB WRInaute passionné
    Inscrit:
    22 Octobre 2015
    Messages:
    1 303
    J'aime reçus:
    174
    J'utilise mysqli_real_escape_string pour les variables dans le WHERE

    Il me semble que c'est @spout qui m'avait conseillé ça.
     
  3. teamlulu
    teamlulu Nouveau WRInaute
    Inscrit:
    9 Mars 2022
    Messages:
    3
    J'aime reçus:
    0
    Il faut que je crée ma procédure stockée sur ma base de donnée avec un trigger je crois
     
  4. emualliug
    emualliug WRInaute occasionnel
    Inscrit:
    1 Février 2020
    Messages:
    449
    J'aime reçus:
    104
    Alors, pour l'injection à proprement parler, mysqli_real_escape_string peut convenir. Toutefois en PHP, les PDO sont recommandées (https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html). Pour être honnête, je ne sais pas trop pourquoi mysqli_real_escape_string est considéré comme moins sûr que PDO, je suppose parce qu'il n'est pas systématique et qu'il faut donc le préciser pour chaque variable.

    Ceci précisé, il faut revoir intégralement la procédure d'authentification : jamais de stockage en clair du mot de passe, pas de comparaison directe, etc. (https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html). password_hash et password_verify sont prêtes à l'emploi en PHP, il faut les utiliser.

    De grâce, s'abstenir des scripts "maisons" dès qu'il s'agit de sécurité.
     
    colonies apprécie ceci.
  5. teamlulu
    teamlulu Nouveau WRInaute
    Inscrit:
    9 Mars 2022
    Messages:
    3
    J'aime reçus:
    0
    je dois presenter un site vulnérable aux injections SQL puis le protéger grâce aux procédures stockées, malheuresement les liens que vous m'avez envoyez ne m'aident pas beaucoup car ils ne présentent pas de code sql pour les procédures stockées
     
  6. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    666
    J'aime reçus:
    110
    Je crois que tu confonds procédures stockées et "requêtes préparées".
    https://www.ionos.fr/digitalguide/sites-internet/developpement-web/prepared-statements-phpmysql/
    Mais surtout, suis le conseil de emualliug : ON NE STOCKE PAS LES MOTS DE PASSE EN CLAIR.
     
    spout apprécie ceci.
  7. emualliug
    emualliug WRInaute occasionnel
    Inscrit:
    1 Février 2020
    Messages:
    449
    J'aime reçus:
    104
    Est-ce un exercice ?

    Si c'est le cas ça excuse (un peu) les autres défauts du code et explique pourquoi il faudrait passer sur une procédure stockée ce qui n'est pas le moyen le plus commode pour se prémunir d'une injection (raison pour laquelle les docs que j'ai liés n'y font pas référence, ce n'est pas un moyen recommandé pour cet objectif).
     
Chargement...
Similar Threads - problèmes procédures stockées Forum Date
Problèmes détectés par Semrush Demandes d'avis et de conseils sur vos sites 29 Décembre 2021
Problèmes dans le méta-titre / description + Sitemap Référencement Google 29 Novembre 2021
Search Console Problèmes réguliers d'ergonomie mobile sans modification Problèmes de référencement spécifiques à vos sites 18 Novembre 2021
Problèmes avec OVH. Le café de WebRankInfo 8 Octobre 2021
Problèmes score Rank Math Référencement Google 20 Septembre 2021
Problèmes - Indexation et Sitemap Problèmes de référencement spécifiques à vos sites 10 Août 2021
Problèmes de trafic incorrect Annonces Limités AdSense 2 Janvier 2021
Problèmes d'indexation de Google fin 2020 Crawl et indexation Google, sitemaps 1 Décembre 2020
Divers problèmes de Google Crawl et indexation Google, sitemaps 29 Novembre 2020
Problèmes d'indexations de Google Crawl et indexation Google, sitemaps 19 Octobre 2020
Search Console Problèmes chargements images Crawl et indexation Google, sitemaps 3 Septembre 2020
Problème OVH et Problèmes de WHOIS Demandes d'avis et de conseils sur vos sites 30 Avril 2020
Problèmes des redirections 301 en transparence Noms de domaine et référencement 12 Mars 2020
Problèmes migration NDD Crawl et indexation Google, sitemaps 21 Février 2020
Search Console Premier référencement et problèmes Débuter en référencement 11 Novembre 2019
Test d'optimisation mobile : Problèmes de chargement de la page Débuter en référencement 10 Novembre 2019
Problèmes d'indexation et robots.txt Crawl et indexation Google, sitemaps 14 Octobre 2019
Problèmes 'Produits' dans Search Console Référencement Google 24 Février 2019
Analyse google search console : liste des problèmes d'indexation Crawl et indexation Google, sitemaps 13 Janvier 2019
Problèmes d'indexation à cause de ressources bloquées (robots.xt) Crawl et indexation Google, sitemaps 22 Novembre 2018