Les injections SQL sont parmi les failles les plus répandues et les plus dangereuses en PHP. Ce tutoriel va vous expliquer clairement le principe des injections SQL, et la façon de les éviter une fois pour toutes. Les risques que représente ce genre de faille sont énormes, spécialement si votre site utilise un espace membre, ou une zone d'administration, qui utilise une base de données MySQL (très courant). Pour lire ce tuto, des bases en PHP / MySQL sont requises. Si vous avez lu le cours de M@teo21 sur le PHP, vous n'aurez aucun problème à suivre. ;)
l'injection dans les variables qui contiennent des chaînes de caractères ;
l'injection dans les variables numériques.
Ce sont deux types bien différents et pour les éviter, il faudra agir différemment pour chacun d'eux.
Les variables contenant des chaînes de caractères
Imaginons un script PHP qui va chercher l'âge d'un membre en fonction de son pseudo. Ce pseudo est passé d'une page à l'autre par l'intermédiaire de l'URL (par $_GET quoi :p ). Ce script devrait ressembler à ça :
<?php
...
$pseudo = $_GET['pseudo'];
$requete = mysql_query("SELECT age FROM membres WHERE pseudo='$pseudo'");
...
Eh bien tenez-vous bien, ce script est une grosse faille d'injection SQL. Il suffira à un méchant garçon de mettre à la place du pseudo dans l'URL une requête de ce genre :
' UNION SELECT password FROM membres WHERE id=1
C'est pour arriver à afficher (c'est juste un exemple) par exemple le mot de passe du membre avec l'id 1. Je n'expliquerai pas en détail l'exploitation, de peur que quelqu'un de pas gentil puisse se promener dans les parages. Voilà, passons donc à la sécurisation. :)
Pour sécuriser ce type d'injection, rien de plus simple. Vous utiliserez la fonction mysql_real_escape_string().
Euh... Elle fait quoi, cette fonction ?
Cette fonction ajoute le caractère "\" aux caractères suivants :
NULL, \x00, \n, \r, \, ', " et \x1a
Et ça sert à quoi ?
Comme vous avez dû le remarquer, dans l'injection précédente, le pirate utilise le caractère quote (pour fermer les ' qui entourent $pseudo) : si on l'empêche de faire ça, le méchant garçon n'aura qu'à aller voir ailleurs. Ce qui signifie que si on applique un mysql_real_escape_string() à la variable pseudo comme ceci...
<?php
...
$pseudo = mysql_real_escape_string($_GET['pseudo']);
$requete = mysql_query("SELECT age FROM membres WHERE pseudo='$pseudo'");
...
La requête est entièrement sécurisée.
Explication
L'injection du pirate est pour rappeler :
' UNION SELECT password FROM membres WHERE id=1
Eh bien si on applique mysql_real_escape_string() à la variable $pseudo utilisée dans la requête, voilà ce que deviendra l'injection :
\' UNION SELECT password FROM membres WHERE id=1
Ce qui signifie que l'on ne sortira même pas des quotes entourant $pseudo dans la requête puisque le \ a été ajouté.
Les variables numériques
Ce genre d'injection est moins connu que le précédent, ce qui le rend plus fréquent, et on commence comme tout à l'heure avec un exemple. Cette fois, on affiche l'âge d'un membre en fonction de son id, et on fait passer cette dernière par un formulaire ($_POST) pour changer :D :
<?php
... /* Le formulaire */ ...
$id = $_POST['id'];
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
...
mysql_real_escape_string() ne servirait à rien ici puisque si un pirate veut injecter du code SQL, il n'aura pas besoin d'utiliser les quotes, puisque la variable $id n'est pas entourée de quotes. Exemple simple d'exploitation :
2 UNION SELECT password FROM membres WHERE id=1
Cette injection fait exactement la même chose que la précédente, sauf que là, pour l'éviter, il y a deux solutions :
changer le contenu de la variable pour qu'elle ne contienne que des nombres ;
vérifier si la variable contient réellement un chiffre avant de l'utiliser dans une requête.
Méthode 1
Nous allons utiliser une fonction qui a été abordée par M@teo_21 dans son cours PHP, intval() : cette fonction retourne quelque soit le contenu d'une variable sa valeur numérique. Par exemple :
<?php
... /* Le formulaire */ ...
$id = intval($_POST['id']);
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
}
...
Voilà : vous pouvez vous arrêter là et c'est amplement suffisant, mais je vous recommande de continuer pour connaître l'autre méthode, sinon vous auriez l'air bête si vous trouviez cette méthode sur un code qui n'est pas le vôtre sans la comprendre.
Méthode 2
Là, on va utiliser une fonction qui retourne TRUE lorsqu'une variable ne contient que des nombres et FALSE si ce n'est pas le cas : cette fonction est is_numeric(), on va l'utiliser dans une condition qui vérifie si is_numeric() retourne bien TRUE.
<?php
$id = $_POST['id'];
if (is_numeric($id))
{
$requete = mysql_query("SELECT age FROM membres WHERE id=$id");
}
else
{
echo "Qu'est-ce que tu fais, petit malin ? ;)";
}
Quelle est la meilleure fonction, entre intval() et is_numeric() ?
Eh bien je vais dire que puisqu'elles sont toutes les deux aussi efficaces, elles sont égales. Mais je préfère intval() puisqu'avec is_numeric() on écrit plus de code, et si la variable ne contient pas que des nombres, la requête est annulée (en principe, mais bien entendu, vous pouvez exécuter la même requête en choisissant une valeur par défaut pour la variable utilisée).
Eh bien voilà ! Vous savez tout à propos de la sécurisation de vos requêtes. Si vous appliquez ces méthodes, il n'y a absolument aucun risque d'avoir une faille de type injection SQL sur son site web (ou script PHP).