Netophonix - Le forum
https://forum.netophonix.com:443/

La Faille Include
https://forum.netophonix.com:443/viewtopic.php?f=22&t=248
Page 3 sur 3

Auteur:  Asmoth [ Mar 03 Mars 2009, 14:03 ]
Sujet du message: 

Bon, puisqu'on est dedans...
KMP a écrit:
Mais j'ai tendance à penser que ce n'est pas la meilleure solution et qu'il vaut mieux inclure directement ses pages plutôt que de passer par du GET ou POST.

Voilà. Pourquoi vous vous embêtez à faire des GET? C'est absolument pas sécurisé! À la limite, passez par un POST!

Mon avis de codeur, c'est de faire une page credentials.php (enfin le nom, c'est pas si important), dans laquelle vous mettez tous les includes dont vous avez besoin. Les mots de passes de session, de base de données, tout ça, mieux vaut ne l'écrire qu'une seule fois, faire un seul script de connection, et vous le blindez de sécurité.

Ajoutez à ceci la sécurité du .htaccess, avec son urlRewritting, et vous devriez tenir un moment ;)

Auteur:  Signez [ Mar 03 Mars 2009, 14:27 ]
Sujet du message: 

Et en passant, vérifiez TOUJOURS ce qui est retourné, tant dans l'URL (GET) que dans les formulaires (POST). Il est trèèès facile de faire une injection SQL ou d'autres trucs "fun" quand on ne fait pas attention...

Auteur:  TeruHi [ Mar 03 Mars 2009, 15:30 ]
Sujet du message: 

Ouai enfin faut pas être fin pour ne pas vérifier ce que l'on met à disposition des gens quoi...
:p

Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Jdis ça parce qu'il y a une faille SQL (aujuord'hui protègée) qui était très connue.
Elle permettait de se connecter sur n'importe quel compte XD

Auteur:  Verdey [ Mar 03 Mars 2009, 22:04 ]
Sujet du message: 

En fait la meilleure solution c'est d'utiliser un CMS :)
Pas de prise de tete , simplicité.

Auteur:  Signez [ Mar 03 Mars 2009, 23:03 ]
Sujet du message: 

TeruHi a écrit:
Au passage, la vérification du pseudo et du mot de passe, faut la faire en deux temps.
on récupère les informations envoyées.
on récupère, s'il y a, les informations relatives au pseudo (sans mettre le MDP dans la condition SQL).
Enfin on compares les données.

Tu connais mysql_real_escape_string ? ;)

Page 3 sur 3 Le fuseau horaire est réglé sur UTC+1 heure [Heure d’été]
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/