Question au sujet des bases de donnée

Inconnu · 11 février 2011 à 23:15

Ok, merci beaucoup. Mais si il n'y a pas d'ajout extérieur au "staff" du site, ce n'est pas forcement nécessaire si ? Parce que visiblement, ceci est surtout pour les site qui laisse l'internaute agir sur le site, du moins si j'ai bien compris ^^

Franceserv · 11 février 2011 à 23:37

Pour le XSS ... bien que seul le formulaire de connexion sera accessible en public il doit être protégé (surtout de l'injection SQL) donc autant protéger l'ensemble. Bien souvent on a également un formulaire de contact, un livre d'or, un forum etc ...

Pour le CSRF ce sont justement les utilisateurs avec pouvoir (le staff dans votre cas) qui sont visés donc il faut se lancer dans les formulaires via token mais c'est un petit peu plus complexe à mettre en place et pas forcement nécessaire lorsque le site n'est pas important ou n'intéresse pas d'autres personnes.

Le XSS est utilisé principalement par des robots alors que le CSRF est utilisé par des pirates.

Passionaqua · 12 février 2011 à 11:07

Avec PDO, c'est "automatique", même si il faut faire tout de même attentions !
Petit exemple :

Code : Tout sélectionner

<?php
$requete = $bdd->prepare("SELECT * FROM table WHERE pseudo = :pseudo");
$requete->execute(array("pseudo" => $_GET['pseudo']));
?>

PDO protège ce qui rentre dans la BDD. Mais n'effectue rien sur les données HTML et autres.
Pour palier ce problème, il suffit de faire un htmlspecialchars() à l'affichage.

Cookie	Description
PHPSESSID	Ce cookie est natif des applications PHP. Ce cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Ce cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
SRVNAME	Ce cookie permet de stabiliser l’affectation du nœud Web derrière le mécanisme de répartition de charges Web.
VIEWED_COOKIE_POLICY COOKIELAWINFOCONSENT COOKIELAWINFO-CHECKBOX-NECESSARY COOKIELAWINFO-CHECKBOX-ANALYTICS COOKIELAWINFO-CHECKBOX-PREFERENCES	Ces cookies sont définis par le mécanisme de consentement RGPD des cookies et sont utilisés pour conserver le consentement ou non de l'utilisateur des cookies. Il n'y a aucune données personnelles dans ces cookies et ils permettent de mémoriser un éventuel refus.
PMA_LANG_HTTPS PHPMYADMIN_HTTPS PMAUSER-1_HTTPS	Cookies liés avec l'outils PhpMyAdmin lorsque le client est connecté sur son espace client.
PHPPBB3_S1W4X_K PHPPBB3_S1W4X_U PHPPBB3_S1W4X_SID	Cookies liés avec les forums PhpBB3 de FranceServ Hébergement.

Cookie	Description
login	Ce cookie permet de mémoriser sur le navigateur, un jeton d'authentification automatique pour le client lorsqu'il le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lors de sa création. Ce cookie devient invalide au bout de 30 jours.
otp	Ce cookie est utilisé pour authentifier automatiquement le client à son gestionnaire par la double authentification, ce jeton d’authentification est valide pendant maximum 30 jours lorsque le client le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lorsqu’il a été crée et sera automatiquement supprimé lorsque c’est nécessaire.

N'hésitez pas à découvrir nos services et à nous contacter, nous vous répondrons rapidement.

Forum

Question au sujet des bases de donnée

Partenaire