Vous vous apprêtez à lire un tutoriel rédigé par un membre de ce site. Malgré tout le soin que ce membre a pu apporter au tutoriel, nous ne pouvons pas garantir que les informations contenues sur cette page sont exactes à 100%. Merci de garder cela en tête lorsque vous lirez cette page ;o)
Il y a deux types d'injections SQL :
- l'injection dans les variables qui contiennent des chaines de caractères ;
- l'injection dans les variables numériques.
Ce sont deux types bien différents et pour les éviter, il faudra agir différemment pour chacun de ces types.
Les variables contenant des chaînes de caractères
Imaginons un script PHP qui va chercher l'âge d'un membre en fonction de son pseudo. Ce pseudo est passé d'une page à l'autre par l'intermédiaire de l'URL (par $_GET quoi
). Ce script devrait ressembler à ça :
Code : PHP1
2
3
4 | ...
$pseudo = $_GET['pseudo'];
$requete = mysql_query("SELECT age FROM membres WHERE pseudo='$pseudo'");
...
|
Eh bien tenez-vous bien, ce script est une grosse faille d'injection SQL. Il suffira à un méchant garçon de mettre à la place du pseudo dans l'URL une requête de ce genre :
Code : PHP1 | ' UNION SELECT password FROM membres WHERE id=1
|
C'est pour arriver à afficher (c'est juste un exemple) par exemple le mot de passe du membre avec l'id 1. Je n'expliquerai pas en détail l'exploitation, de peur que quelqu'un pas gentil puisse se promener dans les parages. Voilà, passons donc à la sécurisation
.
Pour sécuriser ce type d'injection, rien de plus simple. Vous utiliserez la fonction
mysql_real_escape_string().
Euh... Elle fait quoi, cette fonction ?
Cette fonction ajoute le caractère "\" aux caractères suivants :
Code : Autre1
| NULL, \x00, \n, \r, \, ', " et \x1a |
Et ça sert à quoi ?
Comme vous avez dû remarquer, dans l'injection précédente, le pirate utilise le caractère quote (pour fermer les ' qui entourent
$pseudo) : si on l'empêche de faire ça, le méchant garçon n'aura qu'à aller voir ailleurs.
Ce qui signifie que si on applique un mysql_real_escape_string() à la variable pseudo comme ceci...
Code : PHP1
2
3
4 | ...
$pseudo = mysql_real_escape_string($_GET['pseudo']);
$requete = mysql_query("SELECT age FROM membres WHERE pseudo='$pseudo'");
...
|
La requête est entièrement sécurisée.
Explication
L'injection du pirate est pour rappeler :
Code : SQL1 | ' UNION SELECT password FROM membres WHERE id=1
|
Eh bien si on applique mysql_real_escape_string() à la variable
$pseudo utilisée dans la requête, voilà ce que deviendra l'injection :
Code : SQL1 | \' UNION SELECT password FROM membres WHERE id=1
|
Ce qui signifie que l'on ne sortira même pas des quotes entourant $pseudo dans la requête puisque le \ a été ajouté.
Il existe une autre fonction quelque peu similaire à mysql_real_escape_string(), c'est
Addslashes(), pourquoi ne pas l'avoir utilisée ? Eh bien très récemment, une faille de sécurité a été découverte sur cette fonction si elle est utilisée sur une installation PHP 4.3.9 avec les magic_quotes_gpc activés.
Les variables numériques
Ce genre d'injection est moins connu que le précédent, ce qui le rend plus fréquent, et on commence comme tout à l'heure avec un exemple. Cette fois, on affiche l'âge d'un membre en fonction de son id, et on fait passer cette dernière par un formulaire ($_POST) pour changer
:
Code : PHP1
2
3
4 | ... /* Le formulaire */ ...
$id = $_POST['id'];
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
...
|
mysql_real_escape_string() ne servirait à rien ici puisque si un pirate veut injecter du code SQL, il n'aura pas besoin d'utiliser les quotes, puisque la variable $id n'est pas entourée de quotes. Exemple simple d'exploitation :
Code : Autre1
| 2 UNION SELECT password FROM membres WHERE id=1 |
Cette injection fait exactement la même chose que la précédente, sauf que là, pour l'éviter, il y a deux solutions :
- changer le contenu de la variable pour qu'elle ne contienne que des nombres ;
- vérifier si la variable contient réellement un chiffre avant de l'utiliser dans une requête.
Méthode 1
Nous allons utiliser une fonction qui a été abordée par M@teo_21 dans son cours PHP,
intval() : cette fonction retourne quelque soit le contenu d'une variable sa valeur numérique. Par exemple :
Code : PHP1
2 | $variable = '1e10'; // $variable vaut '1e10'
$valeur_numerique = intval($variable); // $valeur_numerique vaut 1
|
Revenons maintenant à nos moutons :
Code : PHP1
2
3
4
5 | ... /* Le formulaire */ ...
$id = intval($_POST['id']);
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
}
...
|
Voilà : vous pouvez vous arrêter là et c'est amplement suffisant, mais je vous recommande de continuer pour connaître l'autre méthode, sinon vous auriez l'air bête si vous trouviez cette méthode sur un code qui n'est pas le vôtre sans la comprendre.
Méthode 2
Là, on va utiliser une fonction qui retourne TRUE lorsqu'une variable ne contient que des nombres et FALSE si ce n'est pas le cas : cette fonction est
is_numeric(), on va l'utiliser dans une condition qui vérifie si is_numeric() retourne bien TRUE.
Code : PHP1
2
3
4
5
6
7
8
9 | $id = $_POST['id'];
if (is_numeric($id))
{
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
}
else
{
echo "Qu'est-ce que tu fais, petit malin ? ;)";
}
|
Quelle est la meilleure fonction, entre intval() et is_numeric() ?
Eh bien je vais dire que puisqu'elles sont toutes les deux aussi efficaces, elles sont égales.
Mais je préfère inval() puisqu'avec is_numeric() on écrit plus de code, et si la variable ne contient pas que des nombres, la requête est annulée (en principe, mais bien entendu, vous pouvez exécuter la même requête en choisissant une valeur par défaut pour la variable utilisée).
Tutoriels
Communauté
Mon compte
Recherche
Livre d'or
Publicité
.
380 Zéros connectés |
8 requêtes |
0.2502s (0.236s)
