Ressources pour développeur web

Théme de la semaine : WebSécurité

Injection SQL, comment protéger sa base de données

Temps de lecture estimé : 6 minutes
Accueil PHP 8 Injection SQL, comment protéger sa base de données

Les bases de données constituent le cœur de nombreuses applications en ligne, stockant une variété d’informations, des noms d’utilisateurs aux données financières. Cependant, il existe une menace sournoise qui peut compromettre vos données : les injections SQL. Mais qu’est-ce que c’est exactement et comment pouvez-vous protéger votre système contre une injection SQL ?

Qu’est-ce qu’une Injection SQL ?

Une injection SQL est une technique utilisée par les pirates pour exploiter les failles de sécurité des applications web qui interagissent avec des bases de données. En exploitant ces failles, les attaquants peuvent manipuler les requêtes SQL de l’application pour accéder, modifier ou supprimer des données non autorisées.

Comment ça marche ?

Prenons un exemple simple. Supposons qu’un site web utilise une requête SQL pour authentifier les utilisateurs lors de la connexion :

SELECT * FROM utilisateurs WHERE nom_utilisateur='[nom_utilisateur]' AND mot_de_passe='[mot_de_passe]';

L’utilisateur entre son nom d’utilisateur et son mot de passe, puis l’application exécute cette requête pour vérifier s’il existe un utilisateur correspondant dans la base de données. Cependant, si l’application ne filtre pas correctement les entrées de l’utilisateur, un pirate peut entrer une entrée malveillante comme ceci :

' OR '1'='1

La requête SQL résultante ressemblera à ceci :

SELECT * FROM utilisateurs WHERE nom_utilisateur='' OR '1'='1' AND mot_de_passe='' OR '1'='1';

Cette requête renverra toutes les lignes de la table utilisateurs, car la condition '1'='1' est toujours vraie. Ainsi, l’attaquant peut accéder à n’importe quel compte sans authentification.

Comment se Protéger d’une injection SQL ?

La meilleure façon de se protéger contre les injections SQL est d’utiliser des requêtes préparées ou des paramètres de requête. Avec MySQLi, vous pouvez utiliser des déclarations préparées comme ceci :

// Connexion à la base de données
$conn = new mysqli($serveur, $utilisateur, $motdepasse, $basededonnees);

// Vérification de la connexion
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// Requête préparée
$stmt = $conn->prepare("SELECT * FROM utilisateurs WHERE nom_utilisateur = ? AND mot_de_passe = ?");
$stmt->bind_param("ss", $nom_utilisateur, $mot_de_passe);

// Assignation des valeurs et exécution
$nom_utilisateur = $utilisateur;
$mot_de_passe = $password;
$stmt->execute();

Les requêtes préparées avec MySQLi offrent une manière sécurisée de passer des paramètres à la requête SQL, ce qui rend beaucoup plus difficile pour les attaquants d’injecter du code malveillant.

De plus, tout comme avec PDO, il est crucial de valider et filtrer toutes les entrées utilisateur pour empêcher les attaques par injection SQL.

Les injections SQL sont une menace sérieuse pour la sécurité des applications web. En comprenant comment elles fonctionnent et en mettant en œuvre des pratiques de développement sécurisé, vous pouvez protéger vos données et votre système contre ces attaques néfastes.

La fonction prepare

Lorsque vous préparez une requête avec MySQLi, vous créez un objet de requête qui est ensuite utilisé pour exécuter cette requête plusieurs fois avec différentes valeurs de paramètres. Cela permet d’optimiser les performances de la base de données en préparant la requête une seule fois et en l’exécutant plusieurs fois avec différentes valeurs.

Voici comment vous pouvez préparer une requête avec MySQLi :

$stmt = $conn->prepare("SELECT * FROM utilisateurs WHERE nom_utilisateur = ? AND mot_de_passe = ?");

Dans cet exemple, conn est l’objet de connexion à la base de données, et la requête SQL est passée en tant que chaîne de caractères. Les ? dans la requête sont des marqueurs de paramètres qui seront remplacés par les valeurs réelles lors de l’exécution de la requête.

La fonction bind_param

Une fois que la requête est préparée, vous devez associer les valeurs aux paramètres de la requête. C’est là que bind_param intervient. Cette fonction associe les variables aux marqueurs de paramètres dans la requête préparée.

Voici comment vous pouvez utiliser bind_param :

$stmt->bind_param("ss", $nom_utilisateur, $mot_de_passe);

Dans cet exemple, ss indique le type de données des paramètres. Dans ce cas, les deux paramètres sont des chaînes de caractères : s pour string. Les variables $nom_utilisateur et $mot_de_passe sont les valeurs réelles que vous souhaitez passer à la requête.

Après avoir lié les paramètres, vous pouvez exécuter la requête avec execute() :

$stmt->execute();

Cela envoie la requête à la base de données avec les valeurs spécifiées pour les paramètres, et la base de données l’exécute avec ces valeurs.

Les types de paramètres

Tableau récapitulatif des types de paramètres possibles avec MySQLi, utilisés dans la fonction bind_param :

Type Description
i Int (Entier)
d Double (nombre à virgule flottante)
s String (Chaîne de caractères)
b Blob (données binaires)

Quels outils permettent de détecter une injection SQL ?

L’injection SQL fait partie des failles de sécurité les plus connues du web. Elle consiste à envoyer du code SQL malveillant dans un formulaire, une URL ou un champ utilisateur afin de manipuler la base de données d’un site web.

Heureusement, plusieurs outils permettent aujourd’hui de détecter ce type de vulnérabilité automatiquement, même sans être expert en cybersécurité.

SQLMap : la référence incontournable

Lorsqu’on parle de détection d’injection SQL, un nom revient presque toujours : SQLMap.

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?

Cet outil open source fonctionne directement depuis le terminal et automatise énormément de tests de sécurité. Il est capable d’analyser une URL, de détecter une faille SQL potentielle et même de vérifier jusqu’où cette faille pourrait être exploitée.

Par exemple, une simple commande comme :

sqlmap -u "https://monsite.fr/page.php?id=1"

permet déjà d’effectuer une première analyse.

Attention toutefois : SQLMap est extrêmement puissant. Il doit uniquement être utilisé sur un site que vous possédez ou sur lequel vous avez une autorisation explicite. Tester un site tiers sans permission peut être illégal.

👉 Consultez notre tutoriel complet : SQLMap : Scan de failles SQL

Burp Suite pour analyser les requêtes web

Burp Suite est un autre outil très populaire dans le monde de la cybersécurité. Contrairement à SQLMap, il propose une interface graphique complète permettant d’intercepter les requêtes envoyées entre le navigateur et le serveur.

Cela permet de :

  • modifier des paramètres en direct,
  • tester différents champs de formulaires,
  • repérer des comportements suspects,
  • analyser les réponses du serveur.

Pour un développeur web, c’est un excellent moyen de comprendre comment transitent réellement les données dans une application.

OWASP ZAP : une alternative gratuite très efficace

Développé par l’OWASP, ZAP (Zed Attack Proxy) est souvent conseillé aux débutants souhaitant apprendre les bases des audits de sécurité.

L’outil peut scanner automatiquement un site web et détecter plusieurs types de vulnérabilités :

  • injections SQL,
  • XSS,
  • mauvaises configurations,
  • formulaires non sécurisés,
  • cookies vulnérables.

Son gros avantage est sa simplicité d’utilisation comparée à certains outils plus techniques.

👉 Pour en savoir plus : Tutoriel complet Owasp Zap

Et avec l’intelligence artificielle ?

Aujourd’hui, des outils comme Codex CLI ou certaines IA spécialisées peuvent aider à détecter du code potentiellement vulnérable.

Par exemple, l’IA peut :

  • analyser un fichier PHP,
  • repérer une requête SQL dangereuse,
  • suggérer une requête préparée PDO,
  • détecter un manque de validation utilisateur.

Prenons un exemple vulnérable :

$id = $_GET['id'];
$sql = "SELECT * FROM articles WHERE id = $id";

Une IA de développement peut immédiatement signaler le problème et proposer une version sécurisée avec requête préparée.

Même si l’intelligence artificielle devient très utile, elle ne remplace pas encore totalement un vrai audit de sécurité. Le meilleur résultat est souvent obtenu en combinant :

  • des outils automatiques,
  • des tests manuels,
  • et une analyse humaine.

Les grandes familles de failles web

Injection SQL, XSS, CSRF, failles d’authentification, erreurs de configuration… Comprendre les principales vulnérabilités web avec des explications simples, des exemples concrets et une approche accessible aux débutants.

Explorer le guide complet
Un point de départ clair pour apprendre à repérer, comprendre et éviter les failles les plus fréquentes sur un site web.

Tester la sécurité de son site web n’est plus réservé aux grandes entreprises ou aux experts en cybersécurité. Aujourd’hui, grâce aux outils modernes et à l’intelligence artificielle, même un développeur indépendant ou un créateur de site WordPress peut commencer à analyser ses propres vulnérabilités plus facilement.

Entre les scanners automatiques, les outils spécialisés comme SQLMap, Burp Suite ou OWASP ZAP, et les assistants IA capables de repérer du code dangereux en quelques secondes, il devient possible d’améliorer considérablement la sécurité d’un projet web sans disposer d’une équipe dédiée.

Attention toutefois : ces outils ne doivent jamais être utilisés à la légère. Tester un site sans autorisation reste illégal dans de nombreux cas. Le but ici est avant tout de comprendre comment protéger ses propres applications, identifier les mauvaises pratiques et renforcer progressivement son code.

Avec des solutions comme Codex CLI, l’intelligence artificielle ouvre également une nouvelle façon de travailler. On ne se contente plus seulement de développer un site : on peut désormais demander à l’IA d’analyser du code, suggérer des corrections, détecter des risques potentiels et même expliquer certaines failles de manière pédagogique.

Et honnêtement, lorsqu’on commence à voir tout ce qu’il est possible de faire depuis un simple terminal… on réalise vite que la cybersécurité moderne ressemble de plus en plus à un véritable copilote intelligent pour développeur web.

Articles relatifs

  1. Recon-ng : Le guide complet pour débuter efficacement
    Apprenez à utiliser Recon-ng pour collecter des informations, découvrir des sous-domaines et exploiter ses résultats en OSINT ou cybersécurité grâce à un guide clair pensé pour débutants….
  2. Les grandes familles de failles web et vulnérabilités
    Comprenez les grandes familles de failles web et vulnérabilités pour mieux sécuriser vos projets. Une vue d’ensemble claire et accessible avant d’explorer chaque risque en détail….
  3. La requête JOIN en SQL avec PHP pour une BDD relationnelle
    Les bases de données relationnelles sont au cœur de nombreuses applications web modernes, et les requêtes SQL permettent de manipuler ces données efficacement. L’une des fonctionnalités les plus puissantes est…
  4. L’indexation pour accélérer vos requêtes MySQL
    Découvrez comment rendre vos requêtes MySQL ultrarapides grâce à l’indexation. Apprenez à éviter les lenteurs, choisir les bons index et optimiser facilement vos performances bases de données….