Question de sécurité

Signaler
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
-
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
-
Salut

j'ai pas mal de page en php. Je me demandais quels sont les risques rééls sur les url. genre on rajoute un code apres l'url ? on pourrai ainsi injecter du code php dans une url ? ou bien je ne sais pas trop. le reste j'y est sécurisé mais le seul truc qui me pose prob c tout se kon pourrai inséré de malveillant dans mes url...
si vous avez des conseils ou autres...

merci d'avance!

8 réponses

Messages postés
890
Date d'inscription
lundi 8 avril 2002
Statut
Membre
Dernière intervention
29 juillet 2004
12
ben pour injecter du code il faut a la base que toi tu le traite.
si tu ne te sers jamais des url pour passer des params a tes pages tu ne risque rien.
Duss
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004

conseils:::
utilise les sessions et les variables globales à OFF
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006

salut
bon pour info je boss avec zzzzzz !!!

Les variables globales sont visiblement toutes a off
et pour ma part j'utilise beaucoup de "form" avec la méthode post.
Y'a t'il moyen de pirater la méthode post ?

J'utilise aussi de temps en temps des liens avec la méthode get car je ne vois pas comment faire sinon.
www...com/mapage.php?var1=toto
la je sais que c'est pas le top.
Je viens de pensais que je peut sécuriser ca en utilisant un "form" avec du java pour pouvoir valider mon "form" (en méthode post) avec un simple clic sur un lien et non sur un bouton mais je trouve que c'est pas térible car je cherche a utiliser le moins de javascript possible.

Y a t'il une autre méthode ?
Car avec les session je vois pas comment traduire 2 liens a la suite du type
www...com/page.php?var1=toto
www...com/page.php?var1=tata
si je fais un $_SESSION['var1']=toto; le tata ne marchera plus et inversement (vous pigez?)

il me semble que j'ai oublié de parler de qqch mais...
ce sera pour la prochaine lol

---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004

Y a t'il une autre méthode ?

oui, les sessions
$_SESSION['var1']=toto;
et sur un autre page...
$_SESSION['var1']=tata;
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006

oui amis non
car imagine mon de est
dans une page : page1.php
pour toto clic ici
pour tata clic ici

je peut faire
dans une page : page1.php
pour toto clic ici
pour tata clic ici

et dans page2a.php j'attribut a $_SESSION['var1']=toto;
et dans page2b.php j'attribut a $_SESSION['var1']=tata;
puis je redirige le tout vers la page page2.php
mais c'est franchement du bricolage
donc dans un tel cas il je ne peut pas utiliser mes sessions.

---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004

Ok, correct dans ton cas ya pas photo,*
te reste + qu'a encryter les donneés que tu passes
dans l'URL md5()
http://www.nexen.net/docs/php/annotee/function.md5.php
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006

ha vi je peut ptétre utiliser le md5()!!! je vais voir ca
sinon

Y'a t'il moyen de pirater la méthode post ?

pq si le gars repére le nom de ma page (new.php qui permet de rajouter des truc dans ma base sql) qui est appelé a la validation du "form" (ce script ne marche que si des données valides lui sont envoyés)
alors il peut recreer sur son serveur un form avec la methode post qui pointe sur mon server, sur le fichier new.php et donc remplir toute ma base avec des truc a la con.

A moins que la méthode poste ne marche pas d'un server a l'autre!!!

---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012

merci pour les reponses lol! au fait Perig te fait pas chiez avec le js pour les profils on va faire ca par la metode get et on va y crypté en md5(fallais y pensser) sinon se qui ma fait douté pour Duss (mon pote :p) c que j'ai passé sur une page test.php avec juste 1 echo $var; et par l'url j'ai mit ?&var=coco et ca ma bien affiché coco ... =] donc je me dit que si on peut afecter une variable via une url. bé on peut surrement faire autre chose le pire ca serrai de mettre une fonction dans l'url :}