sky_striker
Messages postés41Date d'inscriptionlundi 26 juillet 2004StatutMembreDernière intervention28 octobre 2005
-
25 janv. 2005 à 17:51
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 2007
-
26 janv. 2005 à 14:53
Bonjour,
Je me sert de htmlarea (editeur html WYSIWYG pour site web). Je souhaiterais enregistrer les données issues de ce script dans ma base de donnée. Hélas je ne peux pas utiliser htmlentities ni strip_tags pour gérer les problémes d'injection de code. Ces fonctions altérant le code HTML renvoyé par htmlarea ... De plus j'ai lu que la fonction addslashes utilisé seule ne garantit pas une protection suffisante
Auriez vous un ptit conseil pour hacher efficassement mes données (texte HTML) avant de les enregistrer dans ma BDD ...
Merci d'avance à tous
JP DC
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
sky_striker
Messages postés41Date d'inscriptionlundi 26 juillet 2004StatutMembreDernière intervention28 octobre 2005 25 janv. 2005 à 18:01
Si j'utilise htmlentities et que je réaffiche la chaine derriére elle n'est plus interprété comme du html par internet explorer ... Autrement dit les balises apparaissent "en clair" sur la page ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_eXon
Messages postés166Date d'inscriptionlundi 17 janvier 2005StatutMembreDernière intervention 8 avril 20071 25 janv. 2005 à 18:16
Si c'est l'executé ton code HTML je ne vois pas le problème. Tu n'as
qu'à utilisé un addslashes lorsque tu l'envoi et stripslashes pour les
enlever lors de l'affichage.
sky_striker
Messages postés41Date d'inscriptionlundi 26 juillet 2004StatutMembreDernière intervention28 octobre 2005 26 janv. 2005 à 09:57
Ce que je voudrais c utiliser le HTML uniquement et me prémunir de toute injection de code ... La addslashes ne protége pas d'éventuelles injection de code et la solution de Anthomicro ne me protége que de l'injection javascript ...
Est - ce que quelqu'un peux me livre ce pti secret ?
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 26 janv. 2005 à 14:03
Ah ok je comprends mieux. Même si du code PHP est entré dans ta base,
il ne sera pas analysé par php. Le tout est de bien utiliser la
fonction addslashes. Ensuite le bout de code que je t'ai passé enlève
les balises correspondant au javascript pour éviter d'afficher des
messagesbox, de faire des redirections...
Mais si tu nous précisais vraiment à quoi sert ton script, ce que tu veux faire on pourrait peut être t'aider mieux.
Donc la fonction addslashes protège complètement les insertions dans ta
base. Comme l'insertion est protégée, je ne vois pas ce que tu peux
faire de plus...
Pour éviter les failles de SQL injection : outre le fait d'utiliser
addslashes, je préconise pour les logins et passwords d'empêcher les
caractères spéciaux via une expression régulière :
if(eregi("[\^'$()*+<>?#"{}\\]",$pseudo_membre) OR eregi("[\^'$()*+<>?#"{}\\]",$passe_membre))
sky_striker
Messages postés41Date d'inscriptionlundi 26 juillet 2004StatutMembreDernière intervention28 octobre 2005 26 janv. 2005 à 14:11
Salut et merci,
C'est pour afficher un mise en page personnalisé pour mes utilisateurs que je cherche à utiliser htmlarea. Un peu comme dans le programme que tu utilises en ce moment pour me réspondre.
Je suis ok pour l'injection sql c comme ça que je fait aussi mais le probléme qui va se poser c'est que le script va bloquer mon insertion si l'utilisateur tape :
augmentation de 1%
Pour moi interdire les caractére spéciaux n'est pas une solution en soit même si j'ai l'impressions que c'est la seule. De la même maniére ton code bloque les scripts javascript mais qu'en est-il des scripts Vb script ou des autres langages par exemple ...
Je ne connait rien en vbscript pourtant ne bloquer qu'un langage me semble une solution plutôt permissive ....
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
sky_striker
Messages postés41Date d'inscriptionlundi 26 juillet 2004StatutMembreDernière intervention28 octobre 2005 26 janv. 2005 à 14:16
PS: concernant le hachage de login et mot de passe un simple cryptage md5() te prémunie de ce genre de désagréments ... Hélas on peux pas tout le tps utiliser un cryptage ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 26 janv. 2005 à 14:53
Le addslashes suffit pour sécuriser les insertions. Les caractères
spéciaux c'est plus si t'as pas envie de te saouler pour la gestion
future lorsque t'affiches un pseudo, que t'as des indices
correspondants au pseudo dans les urls, etc...