Discussion :

[skurty]

Bonjour,

j'ai un site avec une partie réservée à des membres et je souhaite la sécuriser au maximum mais je me pose une question quant aux sessions.

J'aimerai savoir si un hacker/pirate pouvait modifier les sessions. Si c'est éventuellement possible, il faut que j'utilise mysql_real_escape_string à chaque fois que je veux faire une requête pour éviter les injections sql mais si c'est impossible, c'est inutile.

Donc quel est le meilleur moyen pour avoir des sessions sécurisées :
- enregistrer le login avec mysql_real_escape_string et le mot de passe en sha1 et utiliser mysql_real_escape_string à chaque requête
- ou uniquement enregistrer ces deux informations mais sans utiliser mysql_real_escape_string à chaque fois ?

Merci

[sabotage]

les injections SQL, le hashage SHA1 et les sessions PHP sont 3 choses complétement différentes.

Concernant les sessions, on peut raisonnablement dire qu'il n'est pas possible de modifier une session de l'exterieur.
Il est possible de voler une session existante mais c'est un autre sujet.

Concernant les injections SQL, il faut protéger toute les chaines et toutes les données provenant d'une source extérieure.
Si tu places en session, la donnée saisie par l'utilisateur dans un formulaire, il faut évidemment la protéger avant de l'utiliser dans une requête.

[skurty]

Merci pour ta réponse.

Voici ce que je fais actuellement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
$login=mysql_real_escape_string($_POST['login']);
$pass=sha1($_POST['pass']);
 
$query="SELECT no_utilisateur FROM utilisateurs WHERE nom_utilisateur='$login' AND pass='$pass'";
$req=mysql_query($query);
 
if (mysql_num_rows($req)>0) {
    $tab=mysql_fetch_assoc($req);
    $_SESSION['utilisateur']=array(
	'no'=>$tab['no_utilisateur'],
	'nom'=>$login,
	'pass'=>$pass
    );
}
else {
    // erreur, utilisateur inconnu
}

De cette manière il ne me semble pas qu'il y ait de problème au niveau sécurité.

Donc dans la partie membre, je peux directement utiliser $_SESSION['utilisateur']['no'] ou $_SESSION['utilisateur']['nom'] sans risquer d'injection sql ?

Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query='SELECT date_inscription FROM utilisateurs WHERE no_util='.$_SESSION['utilisateur']['no'];

Merci de me dire si c'est correct au niveau sécurité ou si vous avez des conseils.

[sabotage]

Tout chaine doit $etre protégée puisque susceptible de contenir un guillemet

[skurty]

Donc d'après ce que tu me dis, il faudrait que je fasse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query='SELECT date_inscription FROM utilisateurs WHERE no_util='.mysql_real_escape_string($_SESSION['utilisateur']['no']);

quand même ?

[sabotage]

Si "no" est un id numérique, non.
Ce sont les chaines qui posent problème.

[skurty]

Oui, no est un entier.

Mais pour le login vu que je l'enregistre en session avec mysql_real_escape_string() et qu'il n'est pas possible que quelqu'un la modifie, je n'ai pas besoin d'utiliser à chaque fois la fonction contre les injections sql ?

[sabotage]

C'est une erreur de le stocker apres mysql_real_escape_string().
Démonstration avec le login : l'arbre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$login=mysql_real_escape_string($_POST['login']);
 
  $_SESSION['utilisateur']=array(
	'no'=>$tab['no_utilisateur'],
	'nom'=>$login,
	'pass'=>$pass
    );
echo 'Bonjour ' . $login . ' vous êtes bien connecté';
// Bonjour l\'arbre vous êtes bien connecté

[skurty]

Ha je n'avais pas pensé à cela...

J'ai compris maintenant où j'avais tort, je te remercie pour ton aide et tes réponses rapides