[PHP]Sécurité formulaire

**le Dim Déc 11, 2005 3:34**

Salut @ tous

Je pense que tous les développeurs se sont toujours posés la question :
"Comment bien sécurisé les formulaires".
C'est l'un des points noirs sur un site(je pense).

Je recherche donc une fonction du style :

Avec en entrée la chaîne saisie et qui nous retourne un booléen avec par exemple True si la chaîne ne pose pas de problème de sécurité et False s'il y a problème.

Pourquoi réinventer la roue

Ca existe ce genre de fonction qui est quasi obligatoire sur tous les sites et qui soit plutot connu pour être assez bon ^^ ?

Merci par avance

.

**le Dim Déc 11, 2005 9:08**

y'a deja eu une ou plusieurs discussion la dessus il me semble,
http://www.webrankinfo.com/forums/viewtopic_36304.htm si ca peut aider, apres voir dans les recherches sur le forum

**le Dim Déc 11, 2005 10:33**

Sinon un excellent article publié sur le Hub: http://www.webmaster-hub.com/publicatio ... le145.html

**le Dim Déc 11, 2005 10:35**

pour démarrer ( sécurité en général ):
http://thierrylhomme.developpez.com/php/php_secure/
http://bob.developpez.com/phpauth/
http://phpsec.org/projects/guide/fr/

**le Dim Déc 11, 2005 11:46**

yuston a écrit:Sinon un excellent article publié sur le hub: http://www.webmaster-hub.com/publicatio ... le145.html

lol mettre des champs hidden...quand j'ai vu cela je ne suis meme pas allé plus loin c'est écrit par un débutant

**le Dim Déc 11, 2005 11:59**

fredsoft a écrit:
yuston a écrit:Sinon un excellent article publié sur le hub: http://www.webmaster-hub.com/publicatio ... le145.html

lol mettre des champs hidden...quand j'ai vu cela je ne suis meme pas allé plus loin c'est écrit par un débutant

Le tutos, conseille de ne pas utiliser des champs hidden

**le Dim Déc 11, 2005 16:33**

fredsoft a écrit:
yuston a écrit:Sinon un excellent article publié sur le hub: http://www.webmaster-hub.com/publicatio ... le145.html

lol mettre des champs hidden...quand j'ai vu cela je ne suis meme pas allé plus loin c'est écrit par un débutant

Tu as été plus loin que moi alors, je me suis arreté à

Du point de vue sécurité, il est fortement conseillé d’utiliser la méthode POST pour vos formulaires, (surtout si celui-ci envoie des données confidentielles telles que login ou password), étant donné que la méthode GET fait passer les variables par l’URL, et donc ces variables peuvent être plus facilement détournée.

C'est déjà une preuve le gars ne sais pas de quoi il parle.

**le Dim Déc 11, 2005 19:08**

fredsoft a écrit:
yuston a écrit:Sinon un excellent article publié sur le hub: http://www.webmaster-hub.com/publicatio ... le145.html

lol mettre des champs hidden...quand j'ai vu cela je ne suis meme pas allé plus loin c'est écrit par un débutant

fredsoft a écrit:
yuston a écrit:
Sino
n un excellent article publié sur le hub: http://www.webmaster-hub.com/publicatio ... le145.html

lol mettre des champs hidden...quand j'ai vu cela je ne suis meme pas allé plus loin c'est écrit par un débutant

Tu as été plus loin que moi alors, je me suis arreté à
Citation:
Du point de vue sécurité, il est fortement conseillé d’utiliser la méthode POST pour vos formulaires, (surtout si celui-ci envoie des données confidentielles telles que login ou password), étant donné que la méthode GET fait passer les variables par l’URL, et donc ces variables peuvent être plus facilement détournée.

C'est déjà une preuve le gars ne sais pas de quoi il parle.

Je suis impressioné par le nombre de Génies du php qui participent à ce forum. De plus, ils ne se contentent pas de critiquer et savent mettre à disposition leur savoir encyclopédique. Quelle leçon de vie :lol:

**le Lun Déc 12, 2005 12:28**

Hum... Merci pour votre grande aide mais ce n'est pas du tout ça que je recherche...

Php souffre malheureusement de faille de sécurité...
Il y a quelques temps, si mes souvenirs sont bons, le fait d'imbriquer par exemple(j'ai un doute dans le sens de l'imbriquation) :

Code: Tout sélectionner: htmlentities(stripslashes($chaine));

causé une faille de sécurité...

C'est sur genre de point que je me pose des questions... Après, les tutos "bateaux" sur la sécurisation des formulaires, je les connait

.

D'ou ma question d'une fonction "open-source" qui serait tenu à jour suite aux différents exploits de hackers.

**le Ven Mar 03, 2006 11:42**

bonjour,

j'ai des formualires sur plusieurs sites et j'ai utilisé un scrit trouvé sur internet.
Récemment, j'ai reçu des mails dans la boite qui reçoit en général les données du formulaire avec pleins de caractères bizarres: apparemment,un robot essaie de savoir si mon formulaire est sécurisé.

Y a-t-il un outil sur le web qui peut tester la sécuritéde mon formulaire ? Je ne suis pas assez avancé en php et autre pour regarder moi même si mon code est ok. J'aimerais juste soumettre mon formulaire à un outil qui me dit si oui ou non il est secure ou si il peut être utilisé par des spammeurs.

vous savez si un tel outil existe ?
merci
blast

**le Ven Mar 03, 2006 11:47**

Le plus simple pour bloquer l'accès à un bot à un formulaire, c'est de générer un code de sécurité transmis par le biais d'une image, le crypter en md5 ou sha1, transmettre la forme cryptée via une session, et comparer la saisie de l'utilisateur que l'on cryptée avec le code précrypté.

C'est ce que j'utilise à peu près pour mes sites, et ça marche plutôt bien.

**le Ven Mar 03, 2006 18:03**

Si tu recherches ce genre de code (que vient de décrire Bourriquet) appelé captcha code
Un petit exemple de script a été mis à disposition par fandeciné : http://www.webrankinfo.com/forums/viewtopic_41055.htm

**le Ven Mar 03, 2006 18:57**

coucou! quand on parle de moi, j'arrive! :wink:

Serieusement, je passais par hazard...

Pour en revenir au sujet, tout dépends de l'utilisation du formulaire.

Pour un simple formulaire de contact, un code secret généré graphiquement suffit à protéger des bot. Pour la protection contre l'injection de code, il n'y a pas 36 solutions:

si tu reçoit du code sans en attendre, tu vire carrément!

Maintenant si ton formulaire est un formulaire de connection à un espace client ou membre, il faut prevoir une protection contre toute injection de code MYSQL. Tu commence par un stripslashes (sauf si magic quotes est activé):

Code: Tout sélectionner: if (get_magic_quotes_gpc()) { $login= stripslashes($_POST['login']); } else { $login = $_POST['login']; }

ensuite tu utilise la fonction magique!

Code: Tout sélectionner: $login=mysql_real_escape_string($login);

Quoiqu'il arrive, ne jamais utiliser sans traitement ou verification les données venant d'un formulaire!

**le Ven Mar 03, 2006 19:57**

fandecine a écrit:(sauf si magic quotes est activé)

Sauf si magic quotes n'est pas activé, non ?

**le Ven Mar 03, 2006 19:58**

Bourriquet a écrit:Le plus simple pour bloquer l'accès à un bot à un formulaire, c'est de générer un code de sécurité transmis par le biais d'une image, le crypter en md5 ou sha1, transmettre la forme cryptée via une session, et comparer la saisie de l'utilisateur que l'on cryptée avec le code précrypté.

C'est ce que j'utilise à peu près pour mes sites, et ça marche plutôt bien.

Pourquoi le crypter ? (enfin le hasher plutôt)

[PHP]Sécurité formulaire

[PHP]Sécurité formulaire

tester

Lectures recommandées sur ce thème :

Qui est en ligne