6.6.4 Injection SQL
6.6 Sécurité des bases de données
6 Sécurité
Manuel PHP
->Techniques de contournement
|
6.6.4.1 Techniques de contournement
Vous pouvez prétendre que le pirate doit d'abord obtenir des informations
sur le schéma de la base de données, dans la plupart des cas d'injections.
C'est vrai, mais vous ne saurez jamais comment ni quand ces informations
auront filtré, et si cela arrive, votre base de données sera en grand
danger. Si vous utilisez une base de données Open Srouce, ou une
base qui est du domaine public, ou encore un schéma qui appartient
à un système de gestion de contenu ou d'un forum, le pirate peut
facilement se procurer une copie du code que vous utilisez. Cela peut être
un risque potentiel si la base a été mal conçue.
Ces attaques sont généralement basées sur l'exploitation de code qui
n'est pas écrit de manière sécuritaire. N'ayez aucune confiance dans
les données qui proviennent de l'utilisateur, même si cela provient d'un
menu déroulant, d'un champ caché ou d'un cookie. Le premier exemple montre
comment une requête peut causer un désastre.
-
Ne nous connectez jamais sur une base de données en tant que super
utilisateur ou propriétaire de la base. Utilisez toujours un utilisateur
adapté, avec des droits très limités.
-
Vérifiez que les données ont bien le type attendu. PHP dispose
d'un éventail de fonction de validation large, depuis les plus
simples, de la section Variables et
la section Caractères
(e.g.
is_numeric
,
ctype_digit
respectivement) aux fonctions avancées de
Expression rationnelle Perl .
-
Si l'application attend une entrée numérique, vérifiez vos données
avec la fonction
is_numeric
, ou bien modifiez
automatiquement le type avec la fonction
settype
,
ou encore avec
sprintf
.
| Une navigation de fiches plus sécuritaire |
<?php
settype($offset, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
// notez que %d dans la chaîne de format : %s serait inutile
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
$offset);
?>
|
-
Mettez entre guillemets toutes les valeurs non numériques qui sont
passées à la base de données avec la fonction spécifique à la base de
données d'échappement de caractères (e.g.
mysql_escape_string
,
sql_escape_string
, etc.). Si un mécanisme
d'échappement spécifique à une base de données n'existe pas, les
fonctions
addslashes
et
str_replace
peuvent être très utiles (en fonction
du type de la base de données).
Lisez le premier
exemple . Comme le montre l'exemple, ajouter des guillemets à la
partie statique de la requête n'est pas suffisant, rendant cette requête
facilement piratable.
-
N'affichez jamais d'informations spécifiques à la base, et notamment
des informations concernant le schéma. Voyez aussi la section
Rapport d'erreur et le chapitre
Gestion des erreurs .
-
Vous pouvez avoir des procédures stockées et des curseurs prédéfinis qui
font que les utilisateurs n'ont pas un accès direct aux tables ou vues,
mais cette solution a d'autres impacts.
A coté de ces conseils, il est recommandé d'enregistrer vos requêtes soit
dans vos scripts soit dans la base elle-même, si elle le supporte.
Evidemment, cet enregistrement ne sera pas capable d'empêcher une attaque,
mais vous permettra de retrouver la requête qui a fauté. L'historique
n'est pas très utile par lui-même, mais au niveau des informations qu'il
contient. Plus vous avez de détails, mieux c'est.
|