Formulaire et sécuritéRésolu

Question

Bonjour, Depuis quelques temps un petit malin s'amuse avec le formulaire d'inscription à la newsletter d'un site dont je m'occupe. N'étant pas un expert en php (j'utilise la fonction mail pour recevoir les inscriptions), j'ai cherché à sécuriser un minimum le formulaire. Voici son code avec le php qui traite les variables générées : envoyé !"; } ?> J'utilise $_POST comme il est recommandé, pour ne pouvoir récupérer que les variables générées par le formulaire, et bien que mon hébergeur ait laissé les variables globales à ON. En oubliant la vérification de l'adresse mail via javascript, je devrais recevoir que "oui" ou "non pour la variable "choix". Or, le petit malin arrive à mettre un peu ce qu'il veut dans ces variables, ainsi qu'à faire du bcc vers une adresse aol. C'est pas bien méchant mais j'aime pas trop ça. Des idées pour blinder tout ça ?

FhX · Accepted Answer

Pourle bouton radio :

$choix ( $_POST['choix'] 'oui' ) ? 'oui' : 'non';

Ca force la variable &#224; etre "oui" ou "non"... comme ca, pas de probl&#232;me.



Pour le BCC, il faut que tu regardes au niveau de $_POST['monmail'].

Par exemple, utilise une expression r&#233;guli&#232;re pour adresse e-mail, et
tu verras, t'auras beaucoup moins de probl&#232;me par la suite :)

ivanmac · Answer

Tu veux dire que j'utilise 
$choix ( $_POST['choix'] 'oui' ) ? 'oui' : 'non';
au début du traitement php pour forcer la variable à ne prendre que ces valeurs là ou bien à la place du "if" ?

malalam · Answer

Mets le dans le bloc de ton if () (donc dans le traitement php). Ainsi,
en effet, si le choix est &#233;gal &#224; autre chose que 'oui', il sera mis &#224;
non par d&#233;faut.

Tu peux aussi sortir du traitement, si le choix est diff&#233;rent de oui ou de non, et logger une erreur.

ivanmac · Answer

Merci pour l'explication. Ce qui m'intéresse c'est qu'on ne puisse pas mettre autre chose que ce qui est prévu :
- Pour $choix : oui ou non.
- Pour $monmail : un email (dont je valide le @ et le . en javascript), donc ça peut être n'importe quoi dans la limite du champ (50 caractères).

Les logs que je récupère me prouve que ce n'est pas blindé car mon petit malin arrive également à faire passer du html (avec pas grand chose dedans jusqu'à présent) dans $monmail.

Un exemple de log que je récupère avec du php (mondomaine.com remplace le nom du site): 

16/09/2005 02:40:32 ; 
// la première parenthèse montre le contenu de $monmail)
(tduzwsqkxe@mondomaine.com
Content-Type: multipart/mixed; boundary="===============1629525477=="
MIME-Version: 1.0
Subject: bde4ce20
To: tduzwsqkxe@mondomaine.com
bcc: mhkoch321@aol.com
From: tduzwsqkxe@mondomaine.com

This is a multi-part message in MIME format.

--===============1629525477==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

mgplvm
--===============1629525477==--
); 
// la deuxième parenthèse montre le contenu de $choix)
(tduzwsqkxe@mondomaine.com); 66.199.163.xxx(66.199.163.xxx) ;  ;  ; /

Je n'ai aucune info sur l'environnement (navigateur et plate-forme).

malalam · Answer

Normal...



plusieurs choses :

- dans ton if (), teste aussi le submit de ton formulaire

- le principe de s&#233;curisation n'est pas tant d'emp&#234;cher un utilisateur
malveillant d'essayer de te hacker...mais d'emp&#234;cher que ses tentatives
soient couronn&#233;es de succ&#232;s. Il enverra toujours ce qu'il veut dans tes
$_POST...ton but &#224; toi est de v&#233;rifier que tes $_POST contiennent bien
les valeurs que tu attends, et pas d'autres. L&#224;, il est bloqu&#233;. ON se
fiche qu'il ait r&#233;ussi &#224; t'envoyer toto ou tata...toi, tu n'acceptes
que oui ou non.

- ne teste pas tes emails en javascript...pour 2 raisons : c'est moins
efficace qu'une expression r&#233;guli&#232;re c&#244;t&#233; serveur, et ...il suffit de
d&#233;sactiver le javascript au moment de la saisie pour que ta "s&#233;curit&#233;"
soit an&#233;antie. Le javascript doit rester un confort optionnel! Il doit
se cantonner &#224; &#231;a. Jamais, &#212; grand jamais, il ne faut l'utiliser dans
une optique de s&#233;curisation. C'est vou&#233; &#224; l'&#233;chec. Et c'est le B-A BA
de tout hacker que d'&#233;viter les s&#233;curisations javascript.

- mettre, toujours, toutes les v&#233;rifications possibles et imaginables.
Enfin, un maximum, en tous cas. Teste le domaine du mail. Passe l'email
aux expressions r&#233;guli&#232;res. Pense aux addslashes. Pense &#224; tout... ;-)

ivanmac · Answer

En fait je mentionnais juste le javascript comme option de confort, tout à fait, pour les utilisateurs distraits, pas dans un but de sécurisation.

Ce site est très modeste ; je souhaite juste éviter que le serveur envoie des mails à tout va pour rien. Mais bon, comme mes connaissances sont limitées en php, j'apprends petit à petit.

- Pour tester la saisie d'une adresse mail en php, je vais trouver ça.
- Pour tester le submit, on fait comment en gros (cad tester qu'il a bien cliqué sur le bouton ?)

FhX · Answer

if (!empty($_POST['choix']) && !empty($_POST['monmail'])) {

Bah comme ca par exemple. Quand tu cliques sur ton bouton "envoyer", tu
as une variable superglobal qui contient toute ta liste de champs ainsi
que les valeurs que l'utilisateur a rentr&#233;es dedand.



Donc tu testes via un if ( isset($_POST['un_champ_au_hasard']) ) pour savoir si le formulaire a &#233;t&#233; soumis o&#249; non :)

ivanmac · Answer

Si je comprends bien la fonction isset teste si la variable testée est renseignée par le bouton de validation. Ça ne garantie pas que le champ est renseigné, juste qu'il est renseigné par le bouton de validation ?
Donc je pourrais faire quelque chose comme ça ?

$choix=( $_POST['choix']==='oui' )?'oui' : 'non';
$monmail=$_POST['monmail'];
if (isset($monmail) && !empty($choix) && !empty($monmail)) {

cs_Anthomicro · Answer

Salut, if(!eregi("([a-z]|[0-9]|\-\.)@([a-z]|[0-9]|\-\.)",$_POST['email'])) { //email invalide } c'est une vérification basique, y'en a de bien plus élaborées, mais ça évitera les failles de ce côté au moins :-)

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

FhX · Answer

"$monmail=$_POST['monmail'];"

Non, car tu peux avoir une erreur avec une variable de type null :/ (ca m'est d&#233;ja arriv&#233;).

Teste d'abord ta variable dans $_POST AVANT de la mettre dans une variable diff&#233;rente.

Ca t'&#233;vitera de cr&#233;er 40000 variables pour rien :)

ivanmac · Answer

Hello,
Grâce à votre aide, j'ai pu améliorer le traitement de mon petit formulaire.
Il me reste deux questions pour mieux comprendre : 

1) Comme suggéré par Fhx, est-ce que if ( isset($_POST['un_champ_au_hasard']) ) ne sert qu'à contrôler que la valeur du champ a bien été généré par le bouton submit et lui seul ?

2) Toujours Fhx, tu me disais "Pour le BCC, il faut que tu regardes au niveau de $_POST['monmail']"
Mais ajouter un BCC  veut dire ajouter des infos aux headers. Quelle est la meilleure vérification pour m'assurer que mes headers ne contiennent que le From: ".$_POST['monmail'] ?

Merci à vous :o)

cs_Anthomicro · Answer

"Comme suggéré par Fhx, est-ce que if ( isset($_POST['un_champ_au_hasard']) ) ne sert qu'à contrôler que la valeur du champ a bien été généré par le bouton submit et lui seul ?" Non, ça te permet de voir que ton champ "un_champ_au_hasard" faisait partie du formulaire envoyé :-) "Mais ajouter un BCC veut dire ajouter des infos aux headers. Quelle est la meilleure vérification pour m'assurer que mes headers ne contiennent que le From: ".$_POST['monmail'] ?" bah il faut s'assurer que le mail est valide d'où l'expression régulière que je t'ai proposée plus haut :-)

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

ivanmac · Answer

Ok, donc : 
- d'une part l'utilisation de $_POST['monchamp'] m'assure de ne traiter que les variables envoyées par le formulaire (et non dans l'url par exemple)
- d'autre part tester avec (isset($_POST['monchamp']) fait partie du formulaire envoyé. Sous entendu, sans ça on peut quand même envoyer un champ par d'autres moyens, même en ne récupérant que des variables $_POST ?

Pour l'expression régulière qui vérifie le mail, merci, ça marche bien et si je comprends bien, l'ajout du BCC a dû se faire en mettant dans le champ monmail : toto@toto.com, bcc:test@toto.com, ce qu'empêche la vérification.

cs_Anthomicro · Answer

"d'une part l'utilisation de $_POST['monchamp'] m'assure de ne traiter que les variables envoyées par le formulaire (et non dans l'url par exemple)" oui "d'autre part tester avec (isset($_POST['monchamp']) fait partie du formulaire envoyé. Sous entendu, sans ça on peut quand même envoyer un champ par d'autres moyens, même en ne récupérant que des variables $_POST ?" heu oui on peut envoyer un champ par d'autres moyens, d'ailleurs ma dernière source sur qmail admin permet de faire ça, je simule l'envoi de données en post via un formulaire :-)

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

ivanmac · Answer

Rebonjour, suite de mes aventures, puisque quelqu'un arrive toujours à envoyer du html pour le champ "monmail" et son adresse mail pour le champ "choix", un bcc et d'autres choses?
Voici mon code php actuellement :

<?php 
//Envoi newsletter

$_POST['choix']=( $_POST['choix']==='oui' )?'oui' : 'non';
if (isset($_POST['monmail'])) {
if (!empty($_POST['monmail'])) {
if(eregi("([a-z]|[0-9]|\-\.)@([a-z]|[0-9]|\-\.)",$_POST['monmail']))
{
$email2="webmaster@ mondomaine.com";
$headers="From: ".$_POST['monmail'];
$titre="NEWSLETTER : ".$_POST['choix'];
$message="Demande pour la newsletter :
";
$message.="- Choix : ".$_POST['choix']."
"	;
$message.="- Adresse email : ".$_POST['monmail']."
";
$message.="
 - Message envoyé par le site http://www. mondomaine.com -
";
mail($email2,$titre,$message,$headers);
echo "Votre demande a été envoyée avec succès !";
} else echo "Merci d'indiquer une adresse email valide.";
} else echo "Il manque des informations pour pouvoir traiter votre demande.";
} else echo "Demande non traitée.";
?>

Que puis-je faire pour éviter que mon formulaire soit détourné de son utilisation prévue ?

cs_Anthomicro · Answer

t'es sûr que ça vient de ce formulaire ?

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

ivanmac · Answer

Hello,
Je pense que la fonction mail est bien appelée par mon script php puisque je retrouve le texte (hors variables) que j'ai prévu de mettre dans le mail qui est envoyé. Maintenant, les variables ne proviennent peut-être pas du formulaire lui-même. En fait j'en sais rien.

D'ailleurs, le log de d'utilisation du formulaire ne fournissant pas de nom de navigateur comme c'est le cas normalement, je me demande si c'est pas une machine directeur qui attaque le script.

Tu veux dire que d'après mon code, ça ne devrait pas trop arriver ?

cs_Anthomicro · Answer

"Tu veux dire que d'après mon code, ça ne devrait pas trop arriver ?" exact

Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

ivanmac · Answer

Alors c'est assez mystérieux tout ça.

FhX · Answer

C'est mal cod&#233; de toute facon. On &#233;crit jamais dans $_POST, on &#233;crit dans une variable de tout ce qu'il ya de plus normale :)



"<?php



if (isset($_POST['monmail'])&& !empty($_POST['monmail']) ) {

   if(eregi("([a-z]|[0-9]|\-\.)@([a-z]|[0-9]|\-\.)",$_POST['monmail'])) {



$choix ( $_POST['choix'] 'oui' )? 'oui' : 'non';

$email2="webmaster@mondomaine.com";

$headers="From: ".$_POST['monmail'];



$titre="NEWSLETTER : ".$choix;

$message="Demande pour la newsletter :
";

$message.="- Choix : ".$choix."
"	;

$message.="- Adresse email : ".$_POST['monmail']."
";

$message.="
 - Message envoy&#233; par le site http://www. mondomaine.com -
";

 if ( mail($email2,$titre,$message,$headers) ) {

     echo "Votre demande a &#233;t&#233; envoy&#233;e avec succ&#232;s
!";

 } else echo "Merci d'indiquer une adresse email valide.";

 }



} else echo "Il manque des informations pour pouvoir traiter votre demande.";

}



} else {

echo "Erreur de je sais plus quoi";

}

?>"



Mais c'est pas normal, devrait pas y avoir d'erreur normalement...

Formulaire et sécurité

29 réponses

Votre réponse

Discussions similaires