Securité php/mysql

Salut

le hack de page veut rien dire. Hacker signifies contourner une sécurité pour accéder au programmes et aux données, donc en webmastering c'est le serveur de l'hébergeur qui se fait "hacké", la sécurité dépends donc de l'hébergeur. Un abus de langage utilises le mot hacké pour quelqu'un qui réussit à récupérer votre identifiant et mot de passe de connexion. Pour cela ne les laissez pas traîner n'importe où.

Les injections mysql sont une commande mysql envoyées à la base de données qui va nuire ou pénétrer la dite base.
Plusieurs méthodes mais globalement il faut autoriser l'accès au scripts php qui envoient des requêtes uniquement au fichiers sur le serveur(éventuellement dans un dossier spécifique ou à l'aide de fichiers spécifiques, c'est au codeur de les rendre spécifiques ils n'ont rien de particulier d'autre qu'une fonction va vérifier s'ils ont le droit de s'exécuter où qu'ils viennent bien du bon fichier). Ce type de sécurité peut aussi être obtenu grâce à l'internalisation de la programmation objet(les méthodes sont private).
L'utilisation de la fonction mysql_real_escape_string() est recommandé pour l'utilisation de toutes données externe au programme, elle est faite pour protéger des injections mysql qui seraient des sous requêtes où le programme utilises une variable.

Salut,

Il n'y a pas de méthode magique permettant de savoir si un site est vulnérable ou non.

Les injections SQL se font souvent à l'aide d'un formulaire ou des paramètres par URL (GET). Il faut insérer des valeurs de façon à modifier le comportement d'une requête SQL.

La console de script du navigateur n'a rien à voir, elle permet d'exécuter du Javascript uniquement sur ton navigateur. Or, les requêtes SQL sont exécutées uniquement par le serveur, ton navigateur n'est pas lié à la base de données, il ne sait même pas s'il y en a une (il ne sait même pas si la page est dynamique et cette information ne lui serait pas utile).

Tu trouveras plus d'explications et des exemples ici :
http://fr.wikipedia.org/wiki/Injection_SQL

Les injections SQL n'est pas la seule faille.
Il y a également :
- XSS (côté serveur et côté client) : permet d'insertion de code HTML et donc du Javascript. Ce qui permet de voler les cookies et donc les sessions, rediriger l'utilisateur, modifier le comportement de la page (cible du formulaire de connexion) etc.
- CSRF : permet de prendre les privilèges qu'à un utilisateur sur un site pour lui faire faire des actions (modifier le compte, écrire des messages sur les forums, etc).

+ d'autres failles qui peuvent être liées aux logiciels installés sur le serveur.
Mais si le serveur est à jour, il ne devrait pas y avoir de problème.

grand merci a vous j'aimerai aussi connaitre comment se proteger plus particulierement des injections sql et aussi de cette faille css
et comment s'en servir

Fais des recherches.
La solution contre les injections SQL t'a été donnée par nocomplain.
Cross-Site Scripting s'abrège par « XSS » et pas « CSS ».
X représente un croisement, la signification du mot "cross".