cs_alaise
Messages postés11Date d'inscriptionmardi 4 mai 2004StatutMembreDernière intervention16 janvier 2006 14 nov. 2005 à 15:33
Salut,
Merci pour les infos mais j'aimerai que tu m'éclaircisses sur un petit point quand même.
Si j'ai besoin d'un identifiant pour modifier un formulaire par une requête, cet identifiant par exemple id_adresse je ne peux pas le mettre dans un champ hidden.
J_G
Messages postés1406Date d'inscriptionmercredi 17 août 2005StatutMembreDernière intervention28 août 200710 14 nov. 2005 à 15:59
Regardons comment fonctionne ce site...
Quand je demande à voir les cookies le concernant, j'obtiend ça :
Name |ASP.NET_SessionId, ----
Value |/* clef unique de 32 caractères hexa */, ----
Host |www.phpcs.com, ----
Path |/, ----
Secure |No, ----
Expires |At End Of Session
Name |UID, ----
Value |/* Une autre clef encore plus étrange */, ----
Host |www.phpcs.com, ----
Path |/, ----
Secure |No, ----
Expires |25.10.2015 11:03:29
Principe ?
Lors de mon identification, phpcs a posé deux cookies sur mon ordi.
L'un est posé automatiquement par Apache quand tu fais session_start() (au sommet de tes scripts !!!).
L'autre est à envoyé explicitement grâce à la fonction "set_cookie()" (au sommet de tes scripts !!!).
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 14 nov. 2005 à 21:02
"J'ai lu qui'l était déconseillé de mettre des champs HIDDEN dans les formulaires point de vue sécurité." C'est pas que c'est déconseillé, c'est juste que si tu vérifies pas, tu peux te faire autant baiser que n'importe quel autre champ.
J_G
Messages postés1406Date d'inscriptionmercredi 17 août 2005StatutMembreDernière intervention28 août 200710 15 nov. 2005 à 14:05
Bonjour malalam et FhX,
Justement !!! Tant qu'on y est... Pourriez vous me dire si ma politique sécuritaire est bonne ?
Je fonctionne quasiment comme expliqué à alaise...
1. Identification à chaque chargement de script comme indiqué si dessus (croisement PHPSSESID et une clef)
2. Si ok => Tous ce qui provient de la requète est considérée comme valide !!!
Si non => exit;
Avec bien sûr :
* on contrôle la provenance des variables ($_POST ou $_GET ou $_COOKIE ?)
* on echappe d'entrée de jeu le contenu avec addslahes()
* Si nue donnée doit attaquer la base de données, elle est croisée avec
une données perso de la session (Pour éviter que la personne essaye
d'accéder à des données interdites pour lui)
Qu'en pensez vous ???
Et malalam, c'est quoi ça veut dire : "mais si on parle sécurité" ??
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 15 nov. 2005 à 14:22
J'ai fais une classe (incomplète) de sessions via SQL si tu veux aller voir !
"on contrôle la provenance des variables ($_POST ou $_GET ou $_COOKIE ?)" Voui, jusque la tout va bien :)
"on echappe d'entrée de jeu le contenu avec addslahes()" Pas forcément, tu peux utiliser mysql_real_escape_string(), ou alors utiliser le hasage MD5/SHA1.
"Si nue donnée doit attaquer la base de données, elle est croisée avec une données perso de la session" Pourquoi pas :)
De toute facon, le but d'une ID de session est qu'elle ne doit pas être récupérable par quelqu'un d'autre.
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 15 nov. 2005 à 14:24
"on echappe d'entrée de jeu le contenu avec addslahes()" Fait en sorte que ton ID de session ne contienne que des chiffres et des lettres :) Et un petit coup d'ereg fera l'affaire !