Forum CMS Made Simple Francophone

Aide francophone sur CMS Made Simple

Vous n'êtes pas identifié(e).

Annonce

ATTENTION

  • Prenez le temps de rechercher si quelqu'un n'a pas déjà proposé une solution à votre problème. Sur le forum français et sur le wiki
  • Pensez à mettre à jour votre version de CMS Made Simple. Nous ne faisons de support que sur LA dernière version de CMS Made Simple.
  • Renseignez impérativement le formulaire de nouveau message de manière la plus complète que possible. Dans votre CMS utiliser le menu Administration du site/Informations du système en haut Vue au format texte. Ces informations demandées nous permettent de mieux vous aider
  • Ajoutez [Résolu] au début du titre de votre 1er message lorsqu'une solution a été trouvée.

#1 02/12/2011 17:01:52

snatch1974
Membre
Inscription : 18/01/2011
Messages : 300

sécurité formulaire dans UDT

#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: #1.10.2
#~ Url du site :
#~ Hébergeur / Soft :
#~ Informations Système :
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~


Bonjour à tous,

Une question surement un peu bête...
En règle générale, sur cmsms, quelle est la meilleure façon de sécurier des données envoyées par formulaire puis, insérées dans la base de donnée, sachant que le formulaire et le traitement se fait dans une UDT?

merci de vos lumières

Hors ligne

#2 02/12/2011 17:40:09

jissey
Administrateur
Lieu : Peyruis
Inscription : 30/10/2009
Messages : 2 541
Site Web

Re : sécurité formulaire dans UDT

ça date un peu, mais c'est toujours valable :
http://www.phpsecure.info/v2/article/Ma … Inject.php

De plus il faut "nettoyer" les données $_POST

http://fr.php.net/manual/fr/book.filter.php

il y a aussi des nettoyages manuels du style strip_tags, htmlspecialchars() , htmlentities().


Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)

Hors ligne

#3 02/12/2011 21:08:57

snatch1974
Membre
Inscription : 18/01/2011
Messages : 300

Re : sécurité formulaire dans UDT

lorsqu'on utlise des fonctions comme celle là, les données sont envoées brutes à la bd ou déjà protégées par un mysql_real_escape_string?

[== Indéfini ==]
$query = 'INSERT INTO '.cms_db_prefix().'module_products_fieldvals (product_id, fielddef_id, value, create_date, modified_date) VALUES (?,?,?,?,?)';

$db->Execute($query, array($idA, $fid, $fival, trim($db->DBTimeStamp(time()), "'"), trim($db->DBTimeStamp(time()), "'")));

Hors ligne

#4 03/12/2011 10:48:08

jce76350
Administrateur
Lieu : Rouen
Inscription : 23/09/2007
Messages : 6 101
Site Web

Re : sécurité formulaire dans UDT

lorsqu'on utlise des fonctions comme celle là, les données sont envoées brutes à la bd ou

c'est une requête normale qui passe simplement par ADOdb ou ADOdblite suivant la version du cms


J-C Etiemble Tutoriels v 2.2.x

Hors ligne

#5 03/12/2011 11:58:21

snatch1974
Membre
Inscription : 18/01/2011
Messages : 300

Re : sécurité formulaire dans UDT

je m'en suis rendu compte en vérifiant plusieurs éléments.
ayant un soucis avec mysql_real_escape_string je pensais qu'une première couche de protection étaient appliquée mais en fait non, c'est les magic_quotes _gpc qui sont activées sur le serveur provisoire que j'utilise.
donc, pour prévenir des injections sql, je fais comme ça:

[== Indéfini ==]
$db->Execute($query, array_map('mysql_real_escape_string',(array($idA, $fid, $fival, trim($db->DBTimeStamp(time()), "'"), trim($db->DBTimeStamp(time()), "'"))));

est-ce une façon correcte de gérer le truc?

Hors ligne

#6 03/12/2011 21:41:56

kraygoon
Membre
Lieu : Pau, France
Inscription : 02/11/2007
Messages : 495
Site Web

Re : sécurité formulaire dans UDT

La fonction "prepare" d'Adodb intégré à CMSMS est-elle disponible ?
C'est, d'après ce dont je me souviens, la méthode la plus fiable de sécuriser une requête.

Hors ligne

#7 03/12/2011 23:19:28

snatch1974
Membre
Inscription : 18/01/2011
Messages : 300

Re : sécurité formulaire dans UDT

je sais pas, va falloir regarder car avec mysql_real_escape_string j'ai du faire un plugin pour stripslasher les données affichées dans les templates du module concerné, plus je dois rajouter un nl2br pour garder mes retours à la ligne rentrés en textarea.
C'est géré comment dans formbuilder?

Hors ligne

#8 04/12/2011 10:56:51

jce76350
Administrateur
Lieu : Rouen
Inscription : 23/09/2007
Messages : 6 101
Site Web

Re : sécurité formulaire dans UDT

c'est les magic_quotes _gpc qui sont activées

Cette fonctionnalité est OBSOLETE depuis PHP 5.3.0. Nous vous encourageons vivement à ne plus l'utiliser.
De plus supprimée en PHP 5.4


J-C Etiemble Tutoriels v 2.2.x

Hors ligne

#9 04/12/2011 11:22:31

snatch1974
Membre
Inscription : 18/01/2011
Messages : 300

Re : sécurité formulaire dans UDT

je le sais bien, c'est pour ça que j'ai demandé sa desactivation.
Mais ils sont pas vraiment réactifs question hotline chez mon hébergeur!

Hors ligne

Pied de page des forums