begin process at 2012 05 27 18:29:25
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > 

Code

 > 

Chaîne de caratère

 > SÉCURISATION DE FORMULAIRE

SÉCURISATION DE FORMULAIRE


 Information sur la source

Note :
Aucune note
Catégorie :Chaîne de caratère Classé sous :sécurité, formulaire, chaine, injection, php parano Niveau :Initié Date de création :16/06/2010 Date de mise à jour :16/06/2010 08:09:17 Vu :5 033
Auteur : ultimacsplayer

Ecrire un message privé
Site perso
Commentaire sur cette source (14)
Ajouter un commentaire et/ou une note

 Description

Bonjour,
j'ai lu sur divers forums que l'injection sql peut etre dangereux si on sécurise mal le traitement des données d'un formulaire vers la page de traitement.
J'ai lu qu'il fallait faire un "mysql_real_escape_string" sur les données postée pour empécher des injections de code du genre "OR a = a" , ou \' OR \'a\'=\'a ..
Je vais partager une partie du code que j'ai mis en place pour renforcer un peu plus la sécurité, dites moi ce que vous en pensez, et si c'est une mauvaise méthode..!
Cette méthode consiste à éviter les "=" ou "<" ou ">" ou "?" ou "+" dans les chaines postées.

Pour un formulaire classique de connection :
<form method="post" name="form_connect" action="traitement_du_fichier.php">
<input type="text" name="pseudo"/>
<input type="password" name="pass" />
<input type="submit" value="ok" name="envoi" />
</form>

Source

  • if(isset($_POST['pseudo'])){
  • $chaine_a_tester=$_POST['nom_du_client'].$_POST['password_du_client'];
  • $error="";
  • // caracteres interdit: = < > + ?
  • // Si un de ces caractere est dans le $chaine_a_tester, alors on rajoute le chiffre de sa position dans la chaine, dans la variable $error qui ne sera plus vierge: strpos() renvoie ce chiffre.
  • $caractere_interdit="=";
  • $error.=strpos($chaine_a_tester,$caractere_interdit);
  • $caractere_interdit="<";
  • $error.=strpos($chaine_a_tester,$caractere_interdit);
  • $caractere_interdit=">";
  • $error.=strpos($chaine_a_tester,$caractere_interdit);
  • $caractere_interdit="?";
  • $error.=strpos($chaine_a_tester,$caractere_interdit);
  • $caractere_interdit="+";
  • $error.=strpos($chaine_a_tester,$caractere_interdit);
  • // Si $error est toujours vierge, alors tout est, on peut tester si le pseudo et le password correspondent
  • if($error==""){
  • $login=mysql_real_escape_string($_POST['nom_du_client']);
  • $pass=mysql_real_escape_string($_POST['password_du_client']);
  • $sql = "SELECT login,password FROM login WHERE login='".$login."' AND password = '".$pass."'";
  • $sql2=mysql_query($sql) or die(mysql_error());
  • $slq3=mysql_num_rows($sql2);
  • if($sql3==1){
  • echo "Login et mot de passe valide";
  • }else{
  • echo "Login ou mot de passe invalide";
  • }
  • }else{
  • // Si la variable $error n'est pas vierge, c'est que les caractere interdits ont été rentrés, peut etre tentative de piratage?!
  • echo "Certains champs sont interdit car trop dangereux, et votre pseudo ou mot de pass sont incorrects!";
  • }
  • }
if(isset($_POST['pseudo'])){
	$chaine_a_tester=$_POST['nom_du_client'].$_POST['password_du_client'];
	$error="";
// caracteres interdit: = < > + ?
// Si un de ces caractere est dans le $chaine_a_tester, alors on rajoute le chiffre de sa position dans la chaine, dans la variable $error qui ne sera plus vierge: strpos() renvoie ce chiffre.
	$caractere_interdit="=";
	$error.=strpos($chaine_a_tester,$caractere_interdit);
	$caractere_interdit="<";
	$error.=strpos($chaine_a_tester,$caractere_interdit);
	$caractere_interdit=">";
	$error.=strpos($chaine_a_tester,$caractere_interdit);
	$caractere_interdit="?";
	$error.=strpos($chaine_a_tester,$caractere_interdit);
	$caractere_interdit="+";
	$error.=strpos($chaine_a_tester,$caractere_interdit);
		// Si $error est toujours vierge, alors tout est, on peut tester si le pseudo et le password correspondent
	if($error==""){
		$login=mysql_real_escape_string($_POST['nom_du_client']);
		$pass=mysql_real_escape_string($_POST['password_du_client']);
		$sql = "SELECT login,password FROM login WHERE login='".$login."' AND password = '".$pass."'";
		$sql2=mysql_query($sql) or die(mysql_error());
		$slq3=mysql_num_rows($sql2);
		if($sql3==1){
			echo "Login et mot de passe valide";
		}else{
			echo "Login ou mot de passe invalide";
		}

	}else{
// Si la variable $error n'est pas vierge, c'est que les caractere interdits ont été rentrés, peut etre tentative de piratage?!
		echo "Certains champs sont interdit car trop dangereux, et votre pseudo ou mot de pass sont incorrects!";
	}
}

 Conclusion

Il est aussi possible de tester si un champ email est valide avec ce code par exemple:

$adresse=$_POST['pseudo'];
$carac_obligatoire= "@";
$carac_arobas=strpos($adresse,$carac_obligat oire);
$carac_obligatoire2=".";
$carac_point=str pos($adresse,$carac_obligatoire2);
if($carac_aro bas<0 && $carac_point<0){
echo "Email valide";
}else{
echo "email invalide";
}


 Historique

16 juin 2010 01:55:05 :
Rajout de $caractere_interdit="?"; $error.=strpos($chaine_a_tester,$caractere_interdit); $caractere_interdit="+"; $error.=strpos($chaine_a_tester,$caractere_interdit);
16 juin 2010 01:55:31 :
Rajout de $caractere_interdit="?"; $error.=strpos($chaine_a_tester,$caractere_interdit); $caractere_interdit="+"; $error.=strpos($chaine_a_tester,$caractere_interdit);
16 juin 2010 08:09:17 :
Amélioration de la requete SqL suite au commentaire

 Sources de la même categorie

ADRESSE ABSOLUE DE LA PAGE EN COURS, AVEC VARIABLES $_GET par Dariumis
Source avec Zip CLASSE D'OBJET DE RECHERCHE DE MOTS DANS DES TABLEAUX ET/OU ... par 8Tnerolf8
RÉCUPÉRER LES MINIATURES D'UNE VIDÉO YOUTUBE par tefa24600
Source avec Zip Source avec une capture CONVERTISSEUR DE NOMBRES EN TEXTE par macruz
Source avec Zip Source avec une capture CODAGE TEXTE >HTML, ISO, SPECIALCHARS, URL ET DECODAGE par Salva9473
Toutes les sources de la catégorie Chaîne de caratère

 Sources en rapport avec celle ci

Source avec Zip Source avec une capture VALIDATEUR DE FORMULAIRE par Reldan
Source avec Zip FORMULAIRE D'INSCRIPTION par lelioua
Source avec Zip SUIVI SERVICE CLIENT PHP par hige52
Source avec Zip VÉRIFICATION DE FORMULAIRE EN PHP par psonic13
SÉCURISATION FORMULAIRE (SELECT ET OPTION) par fafa1510

Commentaires et avis

Commentaire de Arto_8000 le 16/06/2010 02:47:12

Honnêtement c'est très mauvais comme approche, parce qu'au lieu d'essayer de régler le problème à la source, tu fais simplement quelque chose qui va être un peu plus dur à exploiter, mais qui est tout de même exploitable.

Pour régler un problème en sécurité informatique il faut regarder pourquoi un code est exploitable et non pas quelles sont les entrées qui peuvent exploiter la faille.

Aussi le problème des caractères spéciaux ' et ", s'applique pratiquement uniquement lors de requête SQL. Dans l'exemple que tu montres il n'y a aucune requête SQL qui est effectuée avec les paramètres entrées par l'utilisateur, donc il n'y a aucune raison de se méfier des caractères spéciaux.

Commentaire de ultimacsplayer le 16/06/2010 07:31:33

En fait, a la place de

#
# if($_POST['pseudo']=="Chris" && $_POST['pass']=="test"){
# echo "Bienvenue ".$_POST['pseudo'].", votre mot de pass est ".$_POST['pass']."!";
# }

c'est là qu'on met le code qui se connecte a la base de donnée et qui regarde si le pseudo et pass est correct.

Commentaire de ultimacsplayer le 16/06/2010 08:13:55

J'ai corrigé ce qui te posais probleme, il y a maintenant la requete sql et le soucis injection.
Il y a aussi mysql_real_escape_string()

C'est peut etre suffisant d'avoir juste mysql_real_escape_string pour éviter l'injection sql, mais mieux vaut avoir le maximum de sécurité.

Par contre Arto_8000, je veux bien que tu me donne des solutions ou exemple pour me montrer que le code ci-dessus est exploitable, afin que je l'améliore.

Commentaire de destinyfr le 16/06/2010 12:31:13

Salut,

Pourquoi réinventer la chose (en bien moins performant d'ailleurs), alors qu'il existe déjà plein de fonctions pour sécuriser les données ? (Par exemple : filter_*).
De plus, ton code n'est pas vraiment adapté pour une réutilisation...

Bye ;)

Commentaire de Arto_8000 le 16/06/2010 15:36:55

Exemple de problème :

<?php
$sql = 'SELECT * FROM Infos WHERE id="' . $tonChampFiltrer . '"';
?>

Si j'envois comme valeur : 1" AND 1 LIKE 0 UNION ALL SELECT * FROM Users WHERE "1" LIKE "1, ton truc n'a absolument rien filtrer et la requête passe.

Aussi des entrées avec des caractères spéciaux peuvent être normal, il faut simplement bien les prendre en charge. Ce genre de contrôle peut exaspéré les utilisateurs d'un site, les caractères spéciaux que tu «bannis» peuvent quand même être utiliser de façon normal par des utilisateurs.

L'idéale comme solution c'est d'utiliser les requêtes paramètrées avec PDO ou d'utiliser des librairies qui prennent en charge des requêtes paramètrées pour mysql (si PDO n'est pas disponible). Le problème, à la source, est que les données sont mises directement dans la requête et qu'ils peuvent la modifier, il faut donc essayer qu'il passe ailleurs que directement dans la requête. C'est pour ça que les requêtes paramètrées restent et resteront toujours la meilleur solution à envisager pour sécurisé une requête SQL.

Commentaire de ultimacsplayer le 16/06/2010 15:49:52

Merci pour vos informations, et surtout pour la derniere requete de Arto, il est clair que l'injection sql ne se limite pas à bannir certains champs.

Je pensais bien faire en partageant un bout de code anti injection, et grace à vous, il y a une meilleur solution que celle que j'ai proposé!

Commentaire de ghuysmans99 le 16/06/2010 20:28:24

Je ne vois pas l'utilité de procéder comme ça : par défaut, PHP échape les chaines de caractères. Pour les nombres, il suffit (à mon sens) de les caster dans leur type respectif.

Commentaire de masternico le 21/06/2010 10:15:23

Perso, je préfère une autre approche.
D'abord, je recherche l'utilisateur à partir du login fourni.
dans un deuxième temps, je regarde si le login récupéré et celui fourni correspondent et si oui, alors je regarde si le mot de passe récupéré par la requette correspond à celui entré par l'utilisateur.

<?
class utilisateurs
{
    public $login;
    public $pass;
    public $error_string;
    private $connected;

    private $user_row;

    public function __construct()
    {
        $this->connected = FALSE;
    }

    private function get_user_row()
    {
        // recuperer les infos de l'utilisateur
$login=mysql_real_escape_string($this->login);
        $sql = 'SELECT login,password FROM login WHERE login=\'' . $login . '\'';
        $sql2=mysql_query($sql);
        $slq3=mysql_num_rows($sql2);
        $errno = mysql_errno($sql2);
        if(($errno == 0) AND ($sql3==1)){
                $this->user_row = mysql_fetch_assoc($sql2);
                return(TRUE);
        }else{
                $this->error_string = mysql_error();
                return(FALSE);
        }
    }
    public function test_login()
    {
        // vérifier si le login correspond
        if(isset($this->user_row['login']))
        {
         $login_to_test = $this->user_row['login'];
                if($login_to_test == $this->login)
                {
                 return(TRUE);
                }
                else
                {
                $this->error_string = 'Tentative d\'injection?';
                return(FALSE);
                }
        }
        else
        {
                $this->error_string = 'Login inconnu';
                return(FALSE);
        }
    }

    public function test_pass()
    {
       // vérifier si le mot de passe correspond
$pass_to_test = $this->user_row['password'];
        if($pass_to_test == $this->pass)
        {
         return(TRUE);
        }
        else
        {
$this->error_string = 'Mot de passe incorrecte';
return(FALSE);
        }
    }

    public function connect()
    {
        if(!$this->get_user_row())
        {
            $return(FALSE);
        }
        if(!$this->test_login())
        {
            $return(FALSE);
        }
        if(!$this->test_pass())
        {
            $return(FALSE);
        }
        $this->connected = TRUE;
    }

    public function is_connected()
    {
        return($this->connected == TRUE);
    }
}

$utilisateur = new utilisateurs();
$utilisateur->login = $login;
$utilisateur->pass = $pass;
if(!$utilisateur->connect())
{
    // pas de bol
    echo $this->error_string;
}
else
{
    echo 'connecté';
}
?>

Commentaire de destinyfr le 21/06/2010 17:35:02

if($login_to_test == $this->login) => théoriquement oui car l'utilisateur que tu as récupéré via ta requête correspond à l'utilisateur envoyé par la personne (d'où le where login).
Le cas contraire tu auras une erreur que tu auras déjà détecté via ta requête (ça pourrait d'ailleurs être plus safe..).

Pourquoi faire autant de choses inutiles :o ? Ou alors c'est que j'ai rien compris à ce que tu veux faire avec ta classe XD

Commentaire de Arto_8000 le 21/06/2010 18:58:38

masternico -> Le problème c'est que les injections SQL ne servent pas juste à contourner un login. Tu laisse carrément un accès à n'importe qui de faire des requêtes select. Tout dépendant de la base de données que tu utilises, ça laisse la possibilité d'avoir une fuite de ta base de données au complet.

Exemple d'entrée qui pose problème :

' UNION ALL SELECT * FROM INFORMATION_SCHEMA INTO OUTFILE 'chemin/Accessible/Du/Net.txt

Commentaire de ghuysmans99 le 21/06/2010 19:03:38

Et pas que des SELECT. Tu entres ça sans les crochets ['or 'a'='a';DELETE * FROM Users WHERE 'a'='a] et ça te fout en l'air ta table (là ça marchera avec du MySQL si la requête du script est [SELECT * FROM Users WHERE user=$user AND pass=$pass;]

Commentaire de Arto_8000 le 21/06/2010 19:28:31

ghuysmans99 -> mysql_query ne permet pas d'avoir plusieurs requêtes en même temps, ça va juste de sortir un exception si tu essaies de faire ça.

Commentaire de ghuysmans99 le 21/06/2010 19:37:40

Ah ben je savais pas. Je pensais que comme en ASP3, plusieurs requêtes pouvaient être exécutées.

Commentaire de lighta971 le 03/08/2010 11:52:54

Autre méthode...

<?php
$erreur = null;
$success = null;
if(!preg_match('#^[a-z0-9\-_]+$#i'$_POST['value1'])) // 1er variable: caractères autorisés, lettres - chiffres - underscores - tirets
{
$erreur = 0;
}
else if(!preg_match('#^[a-z]+$#i'$_POST['value2'])) //2eme variable: caracteres autorisés, lettres
{
$erreur = 0;
}
// else if...
if(empty($erreur)) { // si $erreur toujours null, alors il n'y a pas eu d'erreur donc les variables sont clean
$success = 1
//si requete sql, aouter mysql_real_escape_string
}
echo $success.$erreur; // affichage des resultats, null (si le script n'a pas été exécuté)
?>

 Ajouter un commentaire


Discussions en rapport avec ce code source dans le forum

recuperation de chaine avec espaces dans un formulaire [ par blero91 ] warning : debutantj'ai cree un formulaire avec un select.dans le select, j'ai mis des chaines avec espaces.lorsque je fait un get, je ne recupere que Formulaire et sécurité [ par ivanmac ] Bonjour, Depuis quelques temps un petit malin s'amuse avec le formulaire d'inscription à la newsletter d'un site dont je m'occupe. N'étant pas un exp Delimiteur de chaine de caracteres [ par phpwankenobi ] Bonjour,Je ne sais pas comment utiliser le dlimiteur "\" pour delimiter les chaines de caracteres, en clair je souhaite recuperer et/ou passer correct sécurité d'une formulaire [ par paibafall ] Bonjours je suis vraiment content d'etre un membre.je suis enterain d'utiliser un script qui permet de sécuriser et de gerer les utilisatreurs par mot Sécurité formulaire, problème réinitilisation token, cache navigateur [ par nhefti ] Bonjour,J'utilise pour sécuriser l'envoi de mes formulaires un système de token que je stocke d'une part dans une variable de SESSION de l'autre dans tableau qui est vide ou qui ne veut pas se créer [ par kifouillou ] Bonjour à tous,j'ai déjà posé le problème, mais comme je n'avance pas je me permets de relancer. J'ai 2 pages, une avec un formulaire avec des cases à Envoie d'une chaine de caractère dans l'url [ par hopenot666 ] Bonjour à tous, J'ai fabriqué un petit formulaire qui me permettrai d'envoyer une chaine de caractères dans l'url mais je voudrai y insérer que le te Sécurité sur un document [ par venver ] Bonjour à tous, J'ai fait un script d'instant gagnant en php avec un décompteur et quand ce décompteur est à zero il affiche une formulaire de contac Sécurité Formulaire php. Dangereux ou pas? [ par KcHeY ] Bonjour all, J'ai entendu parler de faille(s) php et j'aurai souhaiter savoir si j'était concerné. J'ai un formulaire et un bouton (sur une page html récupération des données [ par saritazw ] Salut, je suis entrain de créer un formulaire dans une page html. Le problème que j'ai pas pu récupérer les données que j'ai entré. J'utilise Wampserv


Nos sponsors


Sondage...

CalendriCode

Mai 2012
LMMJVSD
 123456
78910111213
14151617181920
21222324252627
28293031   

Consulter la suite du CalendriCode

A découvrir
 
Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés

Google Coop CodeS-SourceS Google Coop CodeS-SourceS
Temps d'éxécution de la page : 0,406 sec (4)

Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)