Securité php/mysql
schancel
Messages postés
296
Date d'inscription
Statut
Membre
Dernière intervention
-
avion-f16 Messages postés 20367 Statut Contributeur -
avion-f16 Messages postés 20367 Statut Contributeur -
Bonjour,
entant qu'amateur en php j'aimerai connaitre quelque principe sur le hack de page en php via des formulaire ou tout autre et aussi les injections mysql
je n'en demande pas pour m'en servir car mieux j'en saurai mieux je saurai me proteger
apres j'ai bien le droit de connaitre entend que futur webmaster s'il vous plait meme un lien ou n'importe quoi a ce sujet
entant qu'amateur en php j'aimerai connaitre quelque principe sur le hack de page en php via des formulaire ou tout autre et aussi les injections mysql
je n'en demande pas pour m'en servir car mieux j'en saurai mieux je saurai me proteger
apres j'ai bien le droit de connaitre entend que futur webmaster s'il vous plait meme un lien ou n'importe quoi a ce sujet
A voir également:
- Securité php/mysql
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Clé de sécurité windows 10 gratuit - Guide
4 réponses
Salut
le hack de page veut rien dire. Hacker signifies contourner une sécurité pour accéder au programmes et aux données, donc en webmastering c'est le serveur de l'hébergeur qui se fait "hacké", la sécurité dépends donc de l'hébergeur. Un abus de langage utilises le mot hacké pour quelqu'un qui réussit à récupérer votre identifiant et mot de passe de connexion. Pour cela ne les laissez pas traîner n'importe où.
Les injections mysql sont une commande mysql envoyées à la base de données qui va nuire ou pénétrer la dite base.
Plusieurs méthodes mais globalement il faut autoriser l'accès au scripts php qui envoient des requêtes uniquement au fichiers sur le serveur(éventuellement dans un dossier spécifique ou à l'aide de fichiers spécifiques, c'est au codeur de les rendre spécifiques ils n'ont rien de particulier d'autre qu'une fonction va vérifier s'ils ont le droit de s'exécuter où qu'ils viennent bien du bon fichier). Ce type de sécurité peut aussi être obtenu grâce à l'internalisation de la programmation objet(les méthodes sont private).
L'utilisation de la fonction mysql_real_escape_string() est recommandé pour l'utilisation de toutes données externe au programme, elle est faite pour protéger des injections mysql qui seraient des sous requêtes où le programme utilises une variable.
le hack de page veut rien dire. Hacker signifies contourner une sécurité pour accéder au programmes et aux données, donc en webmastering c'est le serveur de l'hébergeur qui se fait "hacké", la sécurité dépends donc de l'hébergeur. Un abus de langage utilises le mot hacké pour quelqu'un qui réussit à récupérer votre identifiant et mot de passe de connexion. Pour cela ne les laissez pas traîner n'importe où.
Les injections mysql sont une commande mysql envoyées à la base de données qui va nuire ou pénétrer la dite base.
Plusieurs méthodes mais globalement il faut autoriser l'accès au scripts php qui envoient des requêtes uniquement au fichiers sur le serveur(éventuellement dans un dossier spécifique ou à l'aide de fichiers spécifiques, c'est au codeur de les rendre spécifiques ils n'ont rien de particulier d'autre qu'une fonction va vérifier s'ils ont le droit de s'exécuter où qu'ils viennent bien du bon fichier). Ce type de sécurité peut aussi être obtenu grâce à l'internalisation de la programmation objet(les méthodes sont private).
L'utilisation de la fonction mysql_real_escape_string() est recommandé pour l'utilisation de toutes données externe au programme, elle est faite pour protéger des injections mysql qui seraient des sous requêtes où le programme utilises une variable.
Salut,
Il n'y a pas de méthode magique permettant de savoir si un site est vulnérable ou non.
Les injections SQL se font souvent à l'aide d'un formulaire ou des paramètres par URL (GET). Il faut insérer des valeurs de façon à modifier le comportement d'une requête SQL.
La console de script du navigateur n'a rien à voir, elle permet d'exécuter du Javascript uniquement sur ton navigateur. Or, les requêtes SQL sont exécutées uniquement par le serveur, ton navigateur n'est pas lié à la base de données, il ne sait même pas s'il y en a une (il ne sait même pas si la page est dynamique et cette information ne lui serait pas utile).
Tu trouveras plus d'explications et des exemples ici :
https://fr.wikipedia.org/wiki/Injection_SQL
Les injections SQL n'est pas la seule faille.
Il y a également :
- XSS (côté serveur et côté client) : permet d'insertion de code HTML et donc du Javascript. Ce qui permet de voler les cookies et donc les sessions, rediriger l'utilisateur, modifier le comportement de la page (cible du formulaire de connexion) etc.
- CSRF : permet de prendre les privilèges qu'à un utilisateur sur un site pour lui faire faire des actions (modifier le compte, écrire des messages sur les forums, etc).
+ d'autres failles qui peuvent être liées aux logiciels installés sur le serveur.
Mais si le serveur est à jour, il ne devrait pas y avoir de problème.
Il n'y a pas de méthode magique permettant de savoir si un site est vulnérable ou non.
Les injections SQL se font souvent à l'aide d'un formulaire ou des paramètres par URL (GET). Il faut insérer des valeurs de façon à modifier le comportement d'une requête SQL.
La console de script du navigateur n'a rien à voir, elle permet d'exécuter du Javascript uniquement sur ton navigateur. Or, les requêtes SQL sont exécutées uniquement par le serveur, ton navigateur n'est pas lié à la base de données, il ne sait même pas s'il y en a une (il ne sait même pas si la page est dynamique et cette information ne lui serait pas utile).
Tu trouveras plus d'explications et des exemples ici :
https://fr.wikipedia.org/wiki/Injection_SQL
Les injections SQL n'est pas la seule faille.
Il y a également :
- XSS (côté serveur et côté client) : permet d'insertion de code HTML et donc du Javascript. Ce qui permet de voler les cookies et donc les sessions, rediriger l'utilisateur, modifier le comportement de la page (cible du formulaire de connexion) etc.
- CSRF : permet de prendre les privilèges qu'à un utilisateur sur un site pour lui faire faire des actions (modifier le compte, écrire des messages sur les forums, etc).
+ d'autres failles qui peuvent être liées aux logiciels installés sur le serveur.
Mais si le serveur est à jour, il ne devrait pas y avoir de problème.
En inscrivant des donnés dans la console de script du naviguateur ?