IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Sécurisation des données saisies


Sujet :

Langage PHP

  1. 02/04/2011, 10h24 #1
    alain78
    alain78 est déconnecté
    Membre régulier Avatar de alain78
    Homme Profil pro
    retraité
    Inscrit en
    Mai 2008
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 160
    Points : 97
    Points
    97
    Par défaut Sécurisation des données saisies
    Bonjour,

    Excusez moi si je ne poste pas dans le bon forum, mais je n'ai pas trouvé de forum sur la sécurité.

    Ce n'est pas un problème que je pose mais une question.

    Dans mes formulaires PHP je sécurise les données renseignées par l'utilisateur avant de les stocker dans la base de données.
    Pour les champs 'texte' j'utilise la fonction mysql_real_escape_string($donnee_saisie).

    Pour des raisons spécifiques, certaines données doivent être stockées en base de données sous forme cryptée. Je crypte mes données via une fonction propre à l'application avant de les envoyer à la BDD.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
$donnee=crypter($donnee_saisie) ;
    Puis je stocke dans la base Mysql par une requête INSERT ou UPDATE.

    Bien sûr lorsque je récupère mes données de la base pour les utiliser je les décrypte via une fonction propre à l'application.

    Question.

    Le cryptage des données préalablement à leur stockage dans la base peut -il m'exonérer de l'utilisation de la fonction mysql_real_escape_string supprimant ainsi la faille d'injection ?

    Merci à vous pour vos avis.

    Bonne journée.

    Répondre avec citation Répondre avec citation   0  0
  2. 02/04/2011, 10h37 #2
    sabotage
    sabotage est déconnecté
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Si ta fonction de chiffrement ne te ramenes pas de caractères gênant comme des guillemets, tu n'as effectivement plus besoin d'echapper ta chaine.
    Répondre avec citation Répondre avec citation   0  0
  3. 02/04/2011, 10h53 #3
    alain78
    alain78 est déconnecté
    Membre régulier Avatar de alain78
    Homme Profil pro
    retraité
    Inscrit en
    Mai 2008
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 160
    Points : 97
    Points
    97
    Par défaut Inversion de caractères
    En fait le moteur de cryptage consiste à remplacer chaque caractère par un autre selon un algorithme particulier.

    Ainsi les caractères sensibles comme \ " présents dans la chaine saisie sont remplacés par d'autres caractères.

    Après le cryptage ces caractères peuvent être présents mais leur position dans la chaine cryptée ne présente plus de danger car leur position résulte de algorithme de cryptage.

    Par exemple :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
$chaine_cryptee="A0/15\'6k"lu*/f"
    Je me demande cependant si la présence de ces caractères sensibles dans la chaine cryptée, ne vas pas perturber le déroulement du script.
    Ainsi dans l'exemple ci dessus, la chaine sera t elle correctement utilisée ou seulement la partie "A0/15\'6k" ?
    Répondre avec citation Répondre avec citation   0  0
  4. 02/04/2011, 11h10 #4
    sabotage
    sabotage est déconnecté
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Si tu te retrouves avec des caractères spéciaux, il faut echapper ta chaine.

    Sinon pourquoi tu n'utilises pas un algo de chiffrement existant ? Ca serait un peu plus robuste.
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. API WINDOWS Utilisation des données saisies dans une boîte
    Par CoulAGS dans le forum Windows
    Réponses: 1
    Dernier message: 12/12/2007, 10h35
  2. [MVC] Qui a le rôle du controle des données saisies ?
    Par PanicKernel dans le forum MVC
    Réponses: 3
    Dernier message: 03/09/2007, 19h02
  3. [PHP-JS] vérification des données saisies dans ma page
    Par coco38 dans le forum Langage
    Réponses: 25
    Dernier message: 12/04/2007, 11h32
  4. [EXCEL] Validation des données saisies - nouvelle Question :-)
    Par Paloma dans le forum Macros et VBA Excel
    Réponses: 39
    Dernier message: 29/11/2006, 13h28
  5. récupérer des données saisies dans un fichier
    Par natie_49 dans le forum C++
    Réponses: 6
    Dernier message: 24/11/2005, 11h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo