Securité php/mysql
Fermé
schancel
Messages postés
296
Date d'inscription
dimanche 20 mars 2011
Statut
Membre
Dernière intervention
7 décembre 2018
-
17 sept. 2011 à 17:25
avion-f16 Messages postés 19252 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 10 février 2025 - 18 sept. 2011 à 12:45
avion-f16 Messages postés 19252 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 10 février 2025 - 18 sept. 2011 à 12:45
Bonjour,
entant qu'amateur en php j'aimerai connaitre quelque principe sur le hack de page en php via des formulaire ou tout autre et aussi les injections mysql
je n'en demande pas pour m'en servir car mieux j'en saurai mieux je saurai me proteger
apres j'ai bien le droit de connaitre entend que futur webmaster s'il vous plait meme un lien ou n'importe quoi a ce sujet
entant qu'amateur en php j'aimerai connaitre quelque principe sur le hack de page en php via des formulaire ou tout autre et aussi les injections mysql
je n'en demande pas pour m'en servir car mieux j'en saurai mieux je saurai me proteger
apres j'ai bien le droit de connaitre entend que futur webmaster s'il vous plait meme un lien ou n'importe quoi a ce sujet
A voir également:
- Securité php/mysql
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Mysql community server - Télécharger - Bases de données
- Désactiver sécurité windows - Guide
- Bouton sécurité windows - Forum Windows
4 réponses
Salut
le hack de page veut rien dire. Hacker signifies contourner une sécurité pour accéder au programmes et aux données, donc en webmastering c'est le serveur de l'hébergeur qui se fait "hacké", la sécurité dépends donc de l'hébergeur. Un abus de langage utilises le mot hacké pour quelqu'un qui réussit à récupérer votre identifiant et mot de passe de connexion. Pour cela ne les laissez pas traîner n'importe où.
Les injections mysql sont une commande mysql envoyées à la base de données qui va nuire ou pénétrer la dite base.
Plusieurs méthodes mais globalement il faut autoriser l'accès au scripts php qui envoient des requêtes uniquement au fichiers sur le serveur(éventuellement dans un dossier spécifique ou à l'aide de fichiers spécifiques, c'est au codeur de les rendre spécifiques ils n'ont rien de particulier d'autre qu'une fonction va vérifier s'ils ont le droit de s'exécuter où qu'ils viennent bien du bon fichier). Ce type de sécurité peut aussi être obtenu grâce à l'internalisation de la programmation objet(les méthodes sont private).
L'utilisation de la fonction mysql_real_escape_string() est recommandé pour l'utilisation de toutes données externe au programme, elle est faite pour protéger des injections mysql qui seraient des sous requêtes où le programme utilises une variable.
le hack de page veut rien dire. Hacker signifies contourner une sécurité pour accéder au programmes et aux données, donc en webmastering c'est le serveur de l'hébergeur qui se fait "hacké", la sécurité dépends donc de l'hébergeur. Un abus de langage utilises le mot hacké pour quelqu'un qui réussit à récupérer votre identifiant et mot de passe de connexion. Pour cela ne les laissez pas traîner n'importe où.
Les injections mysql sont une commande mysql envoyées à la base de données qui va nuire ou pénétrer la dite base.
Plusieurs méthodes mais globalement il faut autoriser l'accès au scripts php qui envoient des requêtes uniquement au fichiers sur le serveur(éventuellement dans un dossier spécifique ou à l'aide de fichiers spécifiques, c'est au codeur de les rendre spécifiques ils n'ont rien de particulier d'autre qu'une fonction va vérifier s'ils ont le droit de s'exécuter où qu'ils viennent bien du bon fichier). Ce type de sécurité peut aussi être obtenu grâce à l'internalisation de la programmation objet(les méthodes sont private).
L'utilisation de la fonction mysql_real_escape_string() est recommandé pour l'utilisation de toutes données externe au programme, elle est faite pour protéger des injections mysql qui seraient des sous requêtes où le programme utilises une variable.
avion-f16
Messages postés
19252
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
10 février 2025
4 505
18 sept. 2011 à 12:04
18 sept. 2011 à 12:04
Salut,
Il n'y a pas de méthode magique permettant de savoir si un site est vulnérable ou non.
Les injections SQL se font souvent à l'aide d'un formulaire ou des paramètres par URL (GET). Il faut insérer des valeurs de façon à modifier le comportement d'une requête SQL.
La console de script du navigateur n'a rien à voir, elle permet d'exécuter du Javascript uniquement sur ton navigateur. Or, les requêtes SQL sont exécutées uniquement par le serveur, ton navigateur n'est pas lié à la base de données, il ne sait même pas s'il y en a une (il ne sait même pas si la page est dynamique et cette information ne lui serait pas utile).
Tu trouveras plus d'explications et des exemples ici :
https://fr.wikipedia.org/wiki/Injection_SQL
Les injections SQL n'est pas la seule faille.
Il y a également :
- XSS (côté serveur et côté client) : permet d'insertion de code HTML et donc du Javascript. Ce qui permet de voler les cookies et donc les sessions, rediriger l'utilisateur, modifier le comportement de la page (cible du formulaire de connexion) etc.
- CSRF : permet de prendre les privilèges qu'à un utilisateur sur un site pour lui faire faire des actions (modifier le compte, écrire des messages sur les forums, etc).
+ d'autres failles qui peuvent être liées aux logiciels installés sur le serveur.
Mais si le serveur est à jour, il ne devrait pas y avoir de problème.
Il n'y a pas de méthode magique permettant de savoir si un site est vulnérable ou non.
Les injections SQL se font souvent à l'aide d'un formulaire ou des paramètres par URL (GET). Il faut insérer des valeurs de façon à modifier le comportement d'une requête SQL.
La console de script du navigateur n'a rien à voir, elle permet d'exécuter du Javascript uniquement sur ton navigateur. Or, les requêtes SQL sont exécutées uniquement par le serveur, ton navigateur n'est pas lié à la base de données, il ne sait même pas s'il y en a une (il ne sait même pas si la page est dynamique et cette information ne lui serait pas utile).
Tu trouveras plus d'explications et des exemples ici :
https://fr.wikipedia.org/wiki/Injection_SQL
Les injections SQL n'est pas la seule faille.
Il y a également :
- XSS (côté serveur et côté client) : permet d'insertion de code HTML et donc du Javascript. Ce qui permet de voler les cookies et donc les sessions, rediriger l'utilisateur, modifier le comportement de la page (cible du formulaire de connexion) etc.
- CSRF : permet de prendre les privilèges qu'à un utilisateur sur un site pour lui faire faire des actions (modifier le compte, écrire des messages sur les forums, etc).
+ d'autres failles qui peuvent être liées aux logiciels installés sur le serveur.
Mais si le serveur est à jour, il ne devrait pas y avoir de problème.
schancel
Messages postés
296
Date d'inscription
dimanche 20 mars 2011
Statut
Membre
Dernière intervention
7 décembre 2018
49
18 sept. 2011 à 12:21
18 sept. 2011 à 12:21
grand merci a vous j'aimerai aussi connaitre comment se proteger plus particulierement des injections sql et aussi de cette faille css
et comment s'en servir
et comment s'en servir
avion-f16
Messages postés
19252
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
10 février 2025
4 505
18 sept. 2011 à 12:45
18 sept. 2011 à 12:45
Fais des recherches.
La solution contre les injections SQL t'a été donnée par nocomplain.
Cross-Site Scripting s'abrège par « XSS » et pas « CSS ».
X représente un croisement, la signification du mot "cross".
La solution contre les injections SQL t'a été donnée par nocomplain.
Cross-Site Scripting s'abrège par « XSS » et pas « CSS ».
X représente un croisement, la signification du mot "cross".
18 sept. 2011 à 09:31
En inscrivant des donnés dans la console de script du naviguateur ?