Bonjour,

J´ai besoin actuellement du php pour pouvoir exploiter uneb ase de donnée sql pour un jeu Flash.

Ma question est très simple : quelles sont les règles de sécurité que je dois respecter quand je mettrais mon script php sur mon serveur ftp ? Vu qu´il y a mes informations de connexion à la base de donnée, je me pose quelque questions du genre faut-il mettre des droits particuliers sur le fichiers, etc etc

Merci pour vos réponses ; )

il faut regler les droits sur ce fichier de façon a ce que seul toi et l´utilisateur lancant le serveur web puisse lire le fichier.

Globalement il faut eviter les attaques par injection de code.
Si jamais tu fais un truc genre:
$requeteSQL = "SELECT jesaispasquoi FROM jesaispasnonplus WHERE toto=$parametre";
alors si le gars est malin il peut passer en paramètre
$parametre="0 AND toto >= 0"
lui faisant renvoyer beaucoup plus de champs que prévu.

Mais bon globalement c´est une recommandation classique, il NE FAUT PAS croire que l´utilisateur est gentil et passera ce que tu t´attende a ce qu´il te passe.
De la meme facon il faut faire attention aux chaine de caractère (je te laisse trouver l´exploit)

Le reste de la sécurité est a mon avis plus du ressort que de l´admin que du tien. Est ce que c´est toi qui administre le serveur ?

Hmmmm, il s´agit d´un compte ftp avec une base de donnée classique sur le web.
Quand tu parles de sécurité, c´est configurer les chmod ?

J´ai pas compris du tout l´aspect requete que tu m´as présenté, je passe mes paramètres avec la fonction POST ( enfin dans Flash c´est un peu particulier, ce qui n´aide sans doute pas ma compréhension de ton explication ).

Un truc pour diminuer les tentatives de sql injection :
- addslashes()
- WHERE toto=´$parametre´

WHERE toto=´$parametre´

$parametre="3´ OR ´1´=´1"
ca tue aussi.

Ne pas faire confiance a l´utilisateur. VERIFIER que la données a bien la bonne forme. Ou encore mieux, faire des requetes paramétrés. (pas sur que php et/ou mysql sache(nt) faire ca)

Qu´entends tu par "requete parametrée" ?

je parle de requete précompiler coté serveur qui n´attendent que des paramètres.
Cela sert a exécuter plusieurs fois de suites des requètes de même forme et ainsi que le serveur de base de données ne fasse qu´une seule fois la phase d´analyse lexicale+optimisation.
En effet de bord de cette technique, il n´est pas possible de faire d´injection de code puisque la requète SQL n´est pas passé en même temps que les paramètres.

Enfin, je n´ai pas l´impression que php sache faire cela
(en fait, je ne suis pas sur que mysql sache le faire)

ça ne me dis rien du tout.

Il me semble qu´il existe quelque chose dans ce genre là.

Je me permets de me servir de ce topic pour poser moi même une question idiote!
Je voulais faire en fait:
On copie colle une liste d´objets
et que ça donne la moyenne, j´utilise ça:

for ($prix=0; $prix<=400; ++$prix)
{ $total= (substr_count($text,"$objet - Prix $prix"))*$prix+$total;
}

9a marche très bien SAUF (y´a un sauf qinon j´aurais pas posté) que:

Comme d´où je copie/colle c´est sous la forme exemple
Nom de l´objet - Prix 20E

Si je mets $prix E ça marche pas, si je mets $prixE, la variable n´existe pas, et si je mets $prix_E, ça ne marche pas non plus...
donc voilà aidez moi vite en disant ce qui ne va pas par pitié!!!
merci !! !

{ $total= (substr_count($text,"$objet - Prix $prix"))*$prix+$total;

{ $total= (substr_count($text,$objet." - Prix ".$prix))*$prix+$total;

godrik
Posté le 24 octobre 2006 à 23:23:23
je parle de requete précompiler coté serveur qui n´attendent que des paramètres.
Cela sert a exécuter plusieurs fois de suites des requètes de même forme et ainsi que le serveur de base de données ne fasse qu´une seule fois la phase d´analyse lexicale+optimisation.
En effet de bord de cette technique, il n´est pas possible de faire d´injection de code puisque la requète SQL n´est pas passé en même temps que les paramètres.

Enfin, je n´ai pas l´impression que php sache faire cela
(en fait, je ne suis pas sur que mysql sache le faire)

Je savais bien que j´avais vu quelque chose dans ce gût là :
http://www.siteduzero.com/tuto-3-4404-1-mysql-requete-preparee.html
http://www.siteduzero.com/tuto-3-8682-1-mysql-procedure-stockee.html

mmm, mysql remonte (d´epsilon) dans mon estime