Sécurité d'une requête préparée

**Anibel** · 03/10/2013, 10h10

Salut tout le monde,

J'ai commencé à utiliser PDO et je veux savoir si le code suivant est bien sécurisé:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form2")) {
 
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', $_POST['name'], PDO::PARAM_STR);
$q->bindValue(':address', $_POST['address'], PDO::PARAM_STR);
$q->execute();
 
}

Merci d'avance

**sabotage** · 03/10/2013, 10h38

Pour les injections, oui.
Pense toutefois que l'utilisateur peut saisir n'importe quoi comme du code javascript etc.

**grunk** · 03/10/2013, 10h39

Ça empêchera pas l'utilisateur de rentrer n'importe quoi dans la base (des chiffres à la place du nom par exemple) mais tu es protégés des injections SQL si c'est la question

**Anibel** · 03/10/2013, 10h43

Merci beaucoup Sabotage et Grunk

**papajoker** · 03/10/2013, 11h01

Bonjour,

Si l'on désire un minimum de sécurité (contre pirates ET pour avoir des données valides dans la BD),
Normalement on doit filtrer toute entrée venant d'un formulaire,
donc chaque input 1 par 1 !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
filter_input(INPUT_GET,'email', FILTER_VALIDATE_EMAIL));
filter_input(INPUT_POST,'urldusite', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED)

**Anibel** · 03/10/2013, 11h39

J'ai pas compris papajoker, où dois-je placer ton code dans le mien?

Autre chose, comment se protéger contre autre types d'injection?

Est ce que c'est possible de développer une fonction qui assure tout ça?

**papajoker** · 03/10/2013, 11h59

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
if ($_POST[]){
 
$_POST['name']=filter_input(INPUT_POST,'name', FILTER_VALIDATE_EMAIL);
if $_POST['name']===false)  die();
$_POST['address']=filter_input(INPUT_POST,'address', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED);
if $_POST['address']===false)  die('valeur incorrecte');
 
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', $_POST['name'], PDO::PARAM_STR);
$q->bindValue(':address', $_POST['address'], PDO::PARAM_STR);
$q->execute();
 
}

ici filtres email et url

mais c'est pour l'exemple
http://www.php.net/manual/fr/function.filter-input.php

il existe en cherchant de nombreuses librairies de validation.

**Anibel** · 03/10/2013, 12h11

Merci

Est ce tu me me dire comment je peux utiliser "quote" pour eviter les injections javascripts.
J'ai essayé le suivant mais ça ne fonctionne pas:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
 
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form2")) 
{
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', quote($_POST['name']), PDO::PARAM_STR);
$q->bindValue(':address', quote($_POST['address']), PDO::PARAM_STR);
$q->execute();
 
}

Merci

**papajoker** · 03/10/2013, 12h33

PDO::quote( "xxxx" ) et pas quote( "xxxx" )

**sabotage** · 03/10/2013, 12h39

quote n'empeche pas les injections javascript.

**Anibel** · 03/10/2013, 12h42

donc je pense que je dois utiliser htmlentities tout simplement

**ABCIWEB** · 03/10/2013, 17h00

La fonction quote de pdo est à utiliser quand on utilise pas de requête préparée; c'est l'équivalent de mysql_real_escape_string de mysql.

On se protège des injections javascript en utilisant htmlentities ou htmlspecialchars à l'affichage, et non pas lors de l'enregistrement en bdd. Sinon il y a tout un tas de bin's dans tes données et cela rend impropre ta bdd pour un export sans traitement préalable. Cela peut aussi poser des problèmes si tu devais utiliser des fonctions de recherche insensibles aux caractères accentués par exemple.

**Anibel** · 04/10/2013, 12h11

Bonjour,

J'ai essayé de fare une injéction (<script>alert("Boo!")</script>)en utilisant le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
//Insertion
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form2")) 
{
 $query = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$query->bindValue(':name', htmlspecialchars($_POST['name']), PDO::PARAM_STR);
$query->bindValue(':address', htmlspecialchars($_POST['address']), PDO::PARAM_STR);
$query->execute();
}
//Affichage 
$select = $conn->prepare("SELECT name FROM client WHERE ID=18");
$select->execute();
$row = $select->fetch(PDO::FETCH_ASSOC);
echo $row["name"];

Le code d'injection s'est transformé dans la BDD en (<script>alert("Boo!&quot

</scr...) mais au moment d'affichage, le code original s'affiche sans apparition d'un message.

Donc je ne vois pas la différence entre utiliser htmlspecialchars() à l'affichage ou à l'insertion.

Merci de bien vouloir me clarifier la différence.

**sabotage** · 04/10/2013, 12h16

Le résultat affichée est le même.

Par contre si tu utilises htmlspecialchars à l'insertion, tu auras des entités html dans ta base de données ce qui peut te gêner plus tard lorsque tu voudras faire des recherches sur le contenu ou exploiter ses données en dehors d'une page web.

**Anibel** · 04/10/2013, 12h36

C'est exactement ce que j'ai fait!
Mais j'ai pas trouvé des entités html dans ma BDD.
Lorsque j'utilise htmlspecialchars à l'insertion et que j'insère à titre d'exemple ce code:

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part