besoin d aide pour sécuriser mon site Résolu/Fermé

Question

bonjour a tous


je souhaiterais pouvoir optimiser mon site et régler les soucis de sécurité
j aurais donc des questions 
besoin de conseils , d astuce ect...
ma première question est la suivante  

je suis hébergé chez hostinger avec une protection cloudfare 
dois je m inquiéter des injections mysql

je pose ma question en php car je suppose que la plupart des moyens de protections seront base sur php

yg_be · Answer

bonjour,
tu dois en effet te protéger des injections en utilisant des requêtes préparées, sans jamais combiner autrement une syntaxe SQL et des données reçues.

flexi2202 · Answer

merci yg_be pour la reponse

voici donc une première requête préparée pour une variable name 

	$connexion = mysqli_connect("localhost", "u43rle", "Ssa2", "u4346erle") ;
if (!$connexion) {
    printf("Impossible de se connecter à localhost. Code d'erreur : %d
", mysqli_connect_errno());
	 exit();
	}
if(!empty($_POST["send"])) {
	
	mysqli_query($connexion, "CREATE TEMPORARY TABLE contact LIKE name");
	
	$name = $_POST["name"];

/* Cette requête échoue car nous n'avons pas échappé $city */
if (!mysqli_query($connexion, "INSERT into contact (Name) VALUES ('$name')")) {
    printf("Erreur : %s
", mysqli_sqlstate($connexion));
}

$name = mysqli_real_escape_string($connexion, $name);

/* Cette requête, par contre, réussira car nous avons échappé $city */
if (mysqli_query($connexion, "INSERT into contact (Name) VALUES ('$name')")) {
    printf("%d ligne insérée.
", mysqli_affected_rows($connexion));
}

mysqli_close($connexion);

flexi2202 · Answer

merci pour l aide


je pense avoir compris la requête de préparation

distric 

	$connexion = mysqli_connect("localhost", "u434perle", "S02", "u43erle") ;

if (!$connexion) {
    printf("Impossible de se connecter à localhost. Code d'erreur : %d
", mysqli_connect_errno());
	 exit();
}

$name = $_POST["name"];
	
	/* Crée une requête préparée */
if ($stmt = $mysqli->prepare("SELECT contact FROM name WHERE Name=?")) {

/* Lecture des marqueurs */
    $stmt->bind_param("s", $name);

/* Exécution de la requête */
    $stmt->execute();

/* Lecture des variables résultantes */
    $stmt->bind_result($contact);

/* Récupération des valeurs */
    $stmt->fetch();

printf("%s est dans le contact de %s
", $name, $contact);

/* Fermeture du traitement */
    $stmt->close();
}

/* Fermeture de la connexion */
$mysqli->close();

flexi2202 · Answer

par contre il y a un paramètre que je pense que j ai pas bien compris et donc ma requête après lecture devrait être mauvaise

($stmt = $mysqli->prepare("SELECT contact FROM name WHERE Name=?")) 


select je pense que cela doit être le nom de la base 
FROM doit etre le nom de la table
et where le titre de la colonne dans la table

personnellement 
j utilise toujours * entre SELECT et FROM

flexi2202 · Answer

ah ok jordane 
merci pour l aide
mais de toute façon l hiver prochain je compte m y mettre dans le php de façon plus approfondie
car cela m intéresse

j ai encore une question avec le select
quand tu dis que je peux mettre ce que je veux 
je pourrais écrire "azerty "c est pas logique car je sélectionne quelque chose

flexi2202 · Answer

merci jordane 
bon je vais regarder a cela 
j ai toujours eu un peu dur avec cette fameuse Etoile 

si je reprends l exemple de php

($stmt = mysqli_prepare($link, "SELECT District FROM City WHERE Name=?"))

je suis retourne voir sur classroom pour cet exemple de requête

bon je peux comprendre celle ci

SELECT * FROM jeux_video WHERE possesseur='Patrick'
 « Sélectionner tous les champs de la table jeux_video lorsque le champ Possesseur est égal à Patrick »

de ce cote c est simple a comprendre 

mais alors cela je ne comprends pas

SELECT  prossesseur  FROM jeux_video WHERE possesseur=?'

ca veux quand même bien dire 
sélectionner le champ processeur de la table jeux vidéo et recherche ce qu il y a dans ce champ

flexi2202 · Answer

merci jordane 

et merci pour votre patience a tout les deux 
mais des fois a un certain âge cela a du mal a entrer 

merci aussi pour ces explications et l exemple a présent cela est un peu plus clair
pour te répondre oui cela été une faute de frappe 

si je te dis que je cherche depuis midi pour comprendre une telle requête
SELECT  prossesseur  FROM jeux_video WHERE prossesseur=?'

cette fois ci je pense avoir compris ce genre de requête

oui en effet tu as raison j ai mélange les deux choses 
mais des fois y a des exemples de php qui ne sont pas clair du tout 


voici donc la requête préparée 
j espère que cela est bon 

error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('display_startup_errors', TRUE);
if(!empty($_POST["send"])) {
	
		$connexion = mysqli_connect("localhost", "u4erle", "Ssa02", "u434rle") ;
		
	if (!$connexion) {
    printf("Impossible de se connecter à localhost. Code d'erreur : %d
", mysqli_connect_errno());
	 exit();
}
		
	$name = $_POST["name"];
	$email = $_POST["email"];
	//$subject = $_POST["subject"];
	$messager = $_POST["messager"];
	$drone = $_POST["drone"];
	$drone1 = $_POST["drone1"];
	
	$drone3 = $_POST["drone3"];
	$drone4 = $_POST["drone4"];
	$drone5 = $_POST["drone5"];
	
	$result = mysqli_query($connexion, "INSERT INTO contact (name, email,  message,Avez_vous_deja_perler,seriez_vous_pret_a_sauter_le_pas,Trouvez_vous_des_perles_facilement,Connaissez_vous_des_perleurs,Que_penses_tu_de_mon_blog) VALUES ('" . $name. "', '" . $email. "','" . $messager. "' ,'" . $drone. "'  ,'" . $drone1. "'  ,'" . $drone3. "' ,'" . $drone4. "' ,'" . $drone5. "'            )");{

$stmt->bind_param("s", $name);
$stmt->execute();

$stmt->bind_param("s", email);
$stmt->execute();  
	
	$stmt->bind_param("s", $messager);
$stmt->execute();

$stmt->bind_param("s", $drone);
$stmt->execute();
	
	$stmt->bind_param("s", $drone1);
$stmt->execute();

$stmt->bind_param("s", $drone3);
$stmt->execute();
	
	$stmt->bind_param("s", $drone4);
$stmt->execute();
	
	$stmt->bind_param("s", $drone5);
$stmt->execute();
	 mysqli_stmt_close($stmt);
	 }
	 
	if($result){
		$db_msg = "Vos informations de contact sont enregistrées avec succés.";
		$type_db_msg = "success";
	}else{
		$db_msg = "Erreur lors de la tentative d'enregistrement de contact.";
		$type_db_msg = "error";
	}
	
}

il y a encore cette ligne que je ne comprends pas 

/* Récupération des valeurs */
    mysqli_stmt_fetch($stmt);

printf("%s est dans le district de %s
", $city, $district);


es ce que je dois remplacer les deux variables par toutes mes variables

flexi2202 · Answer

merci jordane 

donc pour le reste tout est bon dans mon code ?

sauf  la détection des erreurs dans la requête

flexi2202 · Answer

voila donc j ai tout refais avec les idées bien claires et après une bonne sieste

		$mysqli= new mysqli("localhost", "u43rle", "Ss02", "u434rle") ;
		
	if (mysqli_connect_errno()) {
    printf("Échec de la connexion : %s
", mysqli_connect_error());
    exit();
}

if ($stmt = $mysqli->prepare( "INSERT INTO contact (name, email,  message,Avez_vous_deja_perler,seriez_vous_pret_a_sauter_le_pas,Trouvez_vous_des_perles_facilement,Connaissez_vous_des_perleurs,Que_penses_tu_de_mon_blog) VALUES ('" . $name. "', '" . $email. "','" . $messager. "' ,'" . $drone. "'  ,'" . $drone1. "'  ,'" . $drone3. "' ,'" . $drone4. "' ,'" . $drone5. "'            )");{
	
	$name = $_POST["name"];
	$email = $_POST["email"];
	//$subject = $_POST["subject"];
	$messager = $_POST["messager"];
	$drone = $_POST["drone"];
	$drone1 = $_POST["drone1"];
	
	$drone3 = $_POST["drone3"];
	$drone4 = $_POST["drone4"];
	$drone5 = $_POST["drone5"];
	
	$stmt->bind_param("s", $name);
$stmt->execute();

$stmt->bind_param("s", email);
$stmt->execute();  
	
	$stmt->bind_param("s", $messager);
$stmt->execute();

$stmt->bind_param("s", $drone);
$stmt->execute();
	
	$stmt->bind_param("s", $drone1);
$stmt->execute();

$stmt->bind_param("s", $drone3);
$stmt->execute();
	
	$stmt->bind_param("s", $drone4);
$stmt->execute();
	
	$stmt->bind_param("s", $drone5);
$stmt->execute();
	 mysqli_stmt_close($stmt);
	 }
	 
	if($result){
		$db_msg = "Vos informations de contact sont enregistrées avec succés.";
		$type_db_msg = "success";
	}else{
		$db_msg = "Erreur lors de la tentative d'enregistrement de contact.";
		$type_db_msg = "error";
	}

flexi2202 · Answer

bonjour a tous 
merci pour les réponses , la patience de jordane et yg_be


hier soir j ai cherche après des tutos et j ai fini par en trouver un qui me semble bien expliquer 
cette requête

voici le lien 
http://sdz.tdct.org/sdz/maitrisez-mysqli-sans-poo.html

voici donc la mienne

$name = $_POST["name"];
 $email = $_POST["email"];
 //$subject = $_POST["subject"];
 $messager = $_POST["messager"];
 $drone = $_POST["drone"];
 $drone1 = $_POST["drone1"];
 
 $drone3 = $_POST["drone3"];
 $drone4 = $_POST["drone4"];
 $drone5 = $_POST["drone5"];
 $bdd = mysqli_connect("localhost", "u4eperle", "S2202", "u434600rle");

/* Vérification de la connexion */
if (mysqli_connect_errno()) {
    printf("Échec de la connexion : %s
", mysqli_connect_error());
    exit();
 }

$req_pre = mysqli_prepare($bdd, "INSERT INTO contact (name, email,  message,Avez_vous_deja_perler,seriez_vous_pret_a_sauter_le_pas,Trouvez_vous_des_perles_facilement,Connaissez_vous_des_perleurs,Que_penses_tu_de_mon_blog) VALUES(?, ?, ?, ?, ?, ?, ?, ?)");
mysqli_stmt_bind_param($req_pre, "ssssssss", $name, $email, $messager, $drone, $drone1, $drone3, $drone4, $drone5 );
mysqli_stmt_execute($req_pre);

if($req_pre){
  $db_msg = "Vos informations de contact sont enregistrées avec succès.";
  $type_db_msg = "success";
 }else{
  $db_msg = "Erreur lors de la tentative d'enregistrement de contact.";
  $type_db_msg = "error";
 }

flexi2202 · Answer

merci pour la reponse yg_be

je suppose en m inspirant ce ceci comme exemple

<?php

mysqli_stmt_bind_result($req_pre, $donnees['pseudo'], $donnees['age'], $donnees['email']);
while(mysqli_stmt_fetch($req_pre))
{
 echo $donnees['pseudo'] . ", " . $donnees['age'] . " ans, " . $donnees['email'];
}
?>

flexi2202 · Answer

mais non j ai regarder sur le tuto

<?php
// include de la connexion SQL.

$req_pre = mysqli_prepare($bdd, 'SELECT * FROM membres WHERE age = ? LIMIT 0, ?');
mysqli_stmt_bind_param($req_pre, "ii", $age, $nombre_resultat);
mysqli_stmt_execute($req_pre);
mysqli_stmt_bind_result($req_pre, $donnees['pseudo'], $donnees['age'], $donnees['email']);
while(mysqli_stmt_fetch($req_pre))
{
	echo $donnees['pseudo'] . ", " . $donnees['age'] . " ans, " . $donnees['email'];
}
?>

flexi2202 · Answer

merci pour l aide 
je pense avoir  trouve 

$name = $_POST["name"];
 $email = $_POST["email"];
 //$subject = $_POST["subject"];
 $messager = $_POST["messager"];
 $drone = $_POST["drone"];
 $drone1 = $_POST["drone1"];
 
 $drone3 = $_POST["drone3"];
 $drone4 = $_POST["drone4"];
 $drone5 = $_POST["drone5"];
 
$bdd = mysqli_connect("localhost", "u43le", "S02", "u4rle");

/* Vérification de la connexion */
if (mysqli_connect_errno()) {
    printf("Échec de la connexion : %s
", mysqli_connect_error());
    exit();
 }

$req_pre = mysqli_prepare($bdd, "INSERT INTO contact (name, email,  message,Avez_vous_deja_perler,seriez_vous_pret_a_sauter_le_pas,Trouvez_vous_des_perles_facilement,Connaissez_vous_des_perleurs,Que_penses_tu_de_mon_blog) VALUES(?, ?, ?, ?, ?, ?, ?, ?)");
mysqli_stmt_bind_param($req_pre, "ssssssss", $name, $email, $messager, $drone, $drone1, $drone3, $drone4, $drone5 );
mysqli_stmt_execute($req_pre);

//Binding values in result to variables
   mysqli_stmt_bind_result($stmt, $name, $email, $messager, $drone, $drone1, $drone3, $drone4, $drone5 );

while (mysqli_stmt_fetch($stmt)) {
      print("Id: ".$name."
");
      print("fname: ".$email."
");
      print("lname: ".$messager."
");
      print("pob: ".$drone."
");
      print("country: ".$drone1."
");
   print("country: ".$drone3."
");
   print("country: ".$drone4."
");
   print("country: ".$drone5."
");
      print("
");

}
   //Closing the statement
   mysqli_stmt_close($stmt);

//Closing the connection
   mysqli_close($bdd);

flexi2202 · Answer

bonjour Jordane 

merci pour la réponse

ben je suppose que cela retourne un résultat  et les affiches 
pourtant c est bien ce que l exemple dans php fait 

 /* Récupération des valeurs */
    mysqli_stmt_fetch($stmt);

printf("%s est dans le district de %s
", $city, $district);

si cela n est pas la manière de vérifier les lignes 21 et 22
alors je ne sais pas 

c est que tous les exemples que je trouve sont mauvais

flexi2202 · Answer

non cela ne retourne rien puisque on entre les données dans la table 
mais une fois insérée elles existent 
tu vas me dire que pour les lires il faut faire une requête
donc oui ces lignes ne servent a rien 

donc du coup comment vérifier que les lignes de contrôle ont bien fonctionner  ??
dans tous les tutos que je suis allé voir 
personne ne les vérifie

flexi2202 · Answer

merci jordane pour la reponse

je veux contrôler si tout c est bien passe avec la variable $stmt

en effet une fois que l on a le code il est tres facile de trouver des exemples 

donc dans mon cas je ne dois juste faire qu une seule vérification que la variable n'a trouve aucune erreur lors de l insertion des données dans la table 

donc la logique devrait que je dois ajouter ceci après l execute

de telle façon a afficher les erreurs si il y a une erreur 

   printf("Erreur : %s.
", mysqli_stmt_error($stmt));

/* Ferme la commande */
    mysqli_stmt_close($stmt);
}

/* Ferme la connexion */
mysqli_close($bdd);

flexi2202 · Answer

voila j ai enfin réussi et j ai corriger des erreurs
et tout ce passe bien 

tout est parti dans al base de donnee

si c est cela 
c est vrai qu une fois que cela a été fais une fois 
que tout est compréhensible et que quand on relis la documentation de php 
tout es clair 
$name = $_POST["name"];
	$email = $_POST["email"];
	//$subject = $_POST["subject"];
	$messager = $_POST["messager"];
	$drone = $_POST["drone"];
	$drone1 = $_POST["drone1"];
$drone3 = $_POST["drone3"];
	$drone4 = $_POST["drone4"];
	$drone5 = $_POST["drone5"];
$bdd = mysqli_connect("localhost", "u45_pecheperle", "Ssa02", "u434erle");
/* Vérification de la connexion */
if (mysqli_connect_errno()) {
    printf("Échec de la connexion : %s
", mysqli_connect_error());
    exit();
	}
		
$req_pre = mysqli_prepare($bdd, "INSERT INTO contact (name, email,  message,Avez_vous_deja_perler,seriez_vous_pret_a_sauter_le_pas,Trouvez_vous_des_perles_facilement,Connaissez_vous_des_perleurs,Que_penses_tu_de_mon_blog) VALUES(?, ?, ?, ?, ?, ?, ?, ?)");
mysqli_stmt_bind_param($req_pre, "ssssssss", $name, $email, $messager, $drone, $drone1, $drone3, $drone4, $drone5 );
mysqli_stmt_execute($req_pre);
   printf("Erreur : %s.
", mysqli_stmt_error($req_pre));
    /* Ferme la commande */
    mysqli_stmt_close($req_pre);
/* Ferme la connexion */
mysqli_close($bdd);

flexi2202 · Answer

du coup j ai fait des tests et tout passe bien je n ai aucune erreur 
avant de pouvoir l appliquer sur ton mon site 
je souhaiterais savoir si cela est ok a present

flexi2202 · Answer

merci jordane pour ce complément d information 
 c'est vrai que la connexion devrait ne pas ce trouvez la 

je vais devenir un champion a la longe mdrrrr

alors pour ce qui est du code en double 
voici un extrait de php

/* Ferme la commande */
    mysqli_stmt_close($stmt);

/* Ferme la connexion */
mysqli_close($link);

donc on fait comment ?

flexi2202 · Answer

parfait merci jordane 

tu vois que j apprends 
très doucement mais ...
je suppose que l on blind que les champs ou l utilisateur sait entrer des données 
pour des boutons radios , des checbox pas de blinder ? 

faut il faire autre chose pour sécuriser sa connexion , sa base de donnée ?
son site en général ??

flexi2202 · Answer

ok jordane je vais faire cela alors partout 
merci

yg_be
merci pour les informations complémentaires
mais du coup j ai des questions , car j aime comprendre ce que je fais 
donc tout ce qui est message d erreur en php, aussi bien pour vérifier la connexion , que tant le cas du blindage alors ...
car dans l exemple de ce blindage 
il y a un message d erreur qui apparaît si il y une mauvaise connexion , je supprime donc le test?
et pour le blintage je dois supprimer cette ligne 
printf("Erreur : %s.
", mysqli_stmt_error($req_pre));
et je dois aussi donc si je suis la logique supprimer ces lignes 
error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('display_startup_errors', TRUE);

oui pour les variables jordane m en avait parler qu il ne fallait pas utiliser de cookie ..

flexi2202 · Answer

ok jordane je vais faire cela alors partout 
merci

yg_be
merci pour les informations complémentaires
mais du coup j ai des questions , car j aime comprendre ce que je fais 
donc tout ce qui est message d erreur en php, aussi bien pour vérifier la connexion , que tant le cas du blindage alors ...
car dans l exemple de ce blindage 
il y a un message d erreur qui apparaît si il y une mauvaise connexion , je supprime donc le test?
et pour le blintage je dois supprimer cette ligne 
printf("Erreur : %s.
", mysqli_stmt_error($req_pre));
et je dois aussi donc si je suis la logique supprimer ces lignes 
error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('display_startup_errors', TRUE);

oui pour les variables jordane m en avait parler qu il ne fallait pas utiliser de cookie ..

encore une question il faut blinder aussi les variable de sessions?

flexi2202 · Answer

ah ok jordane 
c est vrai que des fois il y a des messages qui arrivent que l on ne voit pas 
car ils arrivent au milieu des autres

ah ok ben des messages que je crée moi même il y en a pas des tonnes a vrai dire 
enfin du moins je pense 

peut etre au niveau de la connexion et l inscription

Besoin d aide pour sécuriser mon site

23 réponses

Discussions similaires