[RESOLU] Je crois que c'est absolument incroyable, mais pas sûr...

Je crois que c'est absolument incroyable, mais pas sûr... [RESOLU] - PHP - Programmation

Marsh Posté le 23-06-2007 à 11:39:08    

Bonjour,
 
Un programmeur réalise en ce moment un script PHP/MySQL pour moi.
 
Dans une page, toutes les données de ma base de données sont passées en clair dans l'URL! Toute personne qui affiche cette page peut donc voir ces paramètres !
 
Quelque chose comme ça:

Code :
  1. http://www.mondomaine.com/page.php [...] word|(...)


(j'ai remplacé ici les données réelles par leur signification)
 
Je lui fait remarquer, et il me répond "où est le problème avec ça?"
 
Je pense qu'une telle réponse est incroyable mais, n'étant pas programmeur, je ne sais pas quoi lui rétorquer exactement.
 
Votre avis?
 
Merci.
 
Laurent


Message édité par parisbordeaux le 23-06-2007 à 12:27:46
Reply

Marsh Posté le 23-06-2007 à 11:39:08   

Reply

Marsh Posté le 23-06-2007 à 11:41:36    

vire-le, purement et simplement, il est visiblement incompétent.

Reply

Marsh Posté le 23-06-2007 à 11:45:17    

OK :) mais quels arguments exactement ?  Quiconque voit les paramètres de la BD, mais quelles conséquences exactement ?
 
Merci.

Reply

Marsh Posté le 23-06-2007 à 11:49:24    

N'importe qui d'un peu malin va pouvoir se connecter à ton serveur de db en tant que "toi" (que ton application), il va donc pouvoir
 
1. récupérer toutes les infos y étant stockées (y compris des infos personnelles sur tes clients/utilisateurs), ce qui extrèmement grave pour les gens utilisant ton site
2. modifier et potentiellement détruire ta db, ce qui est extrèmement grave pour toi et ton site
 


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 23-06-2007 à 11:55:00    

Merci ! Voilà qui est clair et précis !
 
Bonne journée. :)
 
'm'en va botter l'cul à quelqu'un...

Reply

Marsh Posté le 24-06-2007 à 22:18:58    

:ouch:  :ouch:  :ouch:


---------------
Directeur Technique (CTO)
Reply

Marsh Posté le 24-06-2007 à 22:24:35    

masklinn a écrit :

N'importe qui d'un peu malin va pouvoir se connecter à ton serveur de db en tant que "toi" (que ton application), il va donc pouvoir
 
1. récupérer toutes les infos y étant stockées (y compris des infos personnelles sur tes clients/utilisateurs), ce qui extrèmement grave pour les gens utilisant ton site
2. modifier et potentiellement détruire ta db, ce qui est extrèmement grave pour toi et ton site


 
Pas forcément,
Vu que la plupart des bases de données mysql ne sont atteignables qu'en "localhost"
Enfin, c'est quand meme vraiment pas professionnel, c'est un gros nul, et puis meme si ce n'est atteignable qu'en local, si c'est sur un serveur mutualisé, il suffit que le pirate ait un compte sur le meme pc, et c'est mort.
 
C'est du gros n'importe quoi.
 
PS: moi je programme très bien :whistle:


---------------
A VENDRE: Razer Chroma ARGB Controller / Boitier / Support Triple Screen / Ventirad / Carte USB3
Reply

Marsh Posté le 25-06-2007 à 23:09:13    

Respects  :D  Il a quel âge ce dév là ?


---------------
Photos Panoramiques Montagnes Haute Savoie
Reply

Marsh Posté le 27-06-2007 à 22:52:23    

certes on y pensant ce n'est si grave que ça, tout en pensant que la connexion ne se fait qu'on local (donc pas d'acces externe) et que le user en question n'a pas de droits critiques sur la base etc. mais rien n'empeche qui si on sait faire tout ça, on passe les params de connexion dans l'url c'est totalement insensé !
 
donc botte lui bien les fesses :D

Reply

Marsh Posté le 27-06-2007 à 22:59:37    

Cela dit, c'est quand meme vachement grave que la bdd soit en localhost ou pas.
 
Il suffit qu'il y ai la moindre faille autre part et ton site est cuit. D'autant plus qu'etant donné ses methodes ici, il devrait y en avoir d'autre des ailles en cherchant bien.

Reply

Marsh Posté le 27-06-2007 à 22:59:37   

Reply

Marsh Posté le 27-06-2007 à 23:04:54    

injections sql, quand on a toutes ces données humm...  :sweat:

Reply

Marsh Posté le 28-06-2007 à 00:34:41    

résolu... tu l'as viré ça y est ? :lol:


---------------
A VENDRE: Razer Chroma ARGB Controller / Boitier / Support Triple Screen / Ventirad / Carte USB3
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed