• [^] # Re: XSS, SQL injection

    Posté par . En réponse au message Développement "propre".. Évalué à 2.

    Pour ma part, quand il faut vérifier un mot de passe dans une application, je ne me base pas sur une requête SQL ça évite bien des problèmes.

    Ce que je fais :
    1° Je vais chercher le mot de passe crypté en base et stocké à la manière LDAP : {MD5}lmkjfaofinqmcndfqm= par exemple.

    2° Je prend le mot de passe que l'utilisateur à donné que je crypte avec la méthode du dessus et je compare.
    La seule info dont tu as besoin pour ta requête SQL est le login de l'utilisateur. Si l'utilisateur arrive à injecter du SQL ça ne servira de toute façon pas à grand chose : juste ne pas récupérer le mot de passe crypté et donc cela générera une erreur ou un compte nul.

    De plus avec cette méthode, tu peux crypter tes mots de passe avec différents algos de manière transparente. Enfin si un jour tu migres sur une LDAP, la migration des mots de passes ne posera pas de problème ;-)