Filtre de contenuRésolu

Question

Je suis pas codeur PHP et j'ai besoin d'un avis. Dans un script PHP je considère un champ HTTP concernant X-Forwarded-for. Or, celui-ci peut être à l'origine d'une injection de code PHP. J'ai donc cherché des expressions afin de filtrer les caractères sensibles. Deux méthodes simples, sont-elles justes dans leur dev? Merci à tous et ++

// Exemple 1 :
// Inscrit la chaîne de caractères envoyée en vérifiant le contenu.
// Logique mais risque de planter le script (argument invalide) -
if ($HTTP_X_FORWARDED_FOR)
{
# On ajoute un slash / à certain caractères (ruine le code malicieux) -
# Caractères spéciaux : . \ + * ? [ ^ ] $ ( ) { } = ! < > | 
  $ip = preg_quote(getenv("HTTP_X_FORWARDED_FOR"), ("/");
  $proxy = getenv("REMOTE_ADDR");
  $host = gethostbyaddr($REMOTE_ADDR);
} 

// Exemple 2 :
// À partir de PHP 4.0b3
// On recherche une chaîne de caractères afin de filter les entrées -
if ($HTTP_X_FORWARDED_FOR)
{  
  $pos = strrpos($ip, "PASSTHRU"); // Simple exemple !!!
  if ($pos false){$ip getenv("HTTP_X_FORWARDED_FOR");}
  else{$ip = ""}; // Chaîne nulle -
};

malalam · Accepted Answer

Hello,

pri&#232;re de se calmer : inutile de se montrer condescendant ("(jrisque pas de trainer ici moi. jretourne chez les grands) "). Tu n'es sans doute pas le seul ici &#224; savoir coder en asm et/ou en C++.
Ce qui m'intrigue dans tes questions/r&#233;ponses, c'est que tu montres ne surtout pas vouloir coder en php. Or, si tu as un probl&#232;me de s&#233;curit&#233;, ce n'est pas en appliquant 3 lignes de code sans les comprendre que tu d&#233;joueras des "hackers" qui, pour certains, connaissent justement php sur le bout des doigts. Et ce ne sont pas des comp&#233;tences en C++ ou ASM qui t'aideront sur ce coup.
Bref, comme te le dit Fhx : si tu veux &#234;tre s&#251;r de toi, tu dois d&#233;j&#224; passer par la variable $_SERVER['HTTP_X_FORWARDED_FOR'], car sinon, tu passes par les super globales des anciennes versions de PHP, tant d&#233;cri&#233;es &#224; cause, justement, des probl&#232;mes de s&#233;curit&#233; qu'elles posent. (c'est valable pour REMOTE_ADDR et REMOTE_HOST).
Quant &#224; une expression r&#233;guli&#232;re pour parser une IP : http://www.expreg.com/liresource.php?type=IP&rt=source

Ces consid&#233;rations mises &#224; part, tes codes sont &#224; peu pr&#232;s justes, oui.

FhX · Answer

Tester la pr&#233;sence d'une variable => fonction isset();
getenv() est &#224; remplacer avec la superglobale $_SERVER[].

Et des scripts pour r&#233;cup&#233;rer une IP, y'en a des tonnes qui sont bien mieux que ton bout de code :) Une petite recherche te le confirmera.

cs_Stormy · Answer

Tu ne comprends pas. Je veux pas coder un code PHP. Je veux comprendre comment filtrer un contenu, en l'occurence $ip. A l'origine, celui-ci est simplement ainsi :
$ip = getenv("HTTP_X_FORWARDED_FOR");

Or, l'injection PHP se fait par le biais de cette en-tête HTTP. Je veux juste savoir comment cette variable $ip peut être vérifier. Comment examiner les occurences éventuelles de caractères sensibles. Mon code est-il juste?

FhX · Answer

"Je veux pas coder un code PHP." Ah bah mauvais forum alors :/

"Je veux comprendre comment filtrer un contenu, en l'occurence $ip." Expression r&#233;guli&#232;re.

"A l'origine, celui-ci est simplement ainsi :
$ip = getenv("HTTP_X_FORWARDED_FOR");" Oui, mais je te dis que tu dois changer getenv() par $_SERVER[]. Pas compliqu&#233; pourtant :o

De plus, HTTP_X_FORWARDED_FOR est utile dans le cas o&#249; ton visiteur passe par un proxy. Si ton visiteur veut bien entendu te le transmettre...

Maintenant, ce que tu veux, c'est l'ip de ton visiteur ==> comme je te l'ai d&#233;ja dit, va voir des scripts de r&#233;cup&#233;ration d'IP, y'en a un paquet, c'est pas ca qui manque... !

"Or, l'injection PHP se fait par le biais de cette en-t&#234;te HTTP." Injection PHP... si t'arrives &#224; te faire bouffer sur une en-t&#234;te HTTP, j'imagine le pire !

"Je veux juste savoir comment cette variable $ip peut &#234;tre v&#233;rifier." Tu peux utiliser les expressions r&#233;guli&#232;res... le masque est un peu comme ca :
[nombre 0-255] . [nombre 0-255] . [nombre 0-255] . [nombre 0-255]

Voila.

"Mon code est-il juste?" Non, c'est ce que je viens de te dire... mais t'as pas l'air de t'en soucier.

"if ($HTTP_X_FORWARDED_FOR)" Y'a rien de plus "b&#234;te" &#224; &#233;crire. La tu teste quoi ? La pr&#233;sence d'une variable ? Le fait qu'elle soit vide ? Qu'elle soit bool&#233;enne de type TRUE/FALSE ? 
La on ne sait rien. Moi si je lis ca, c'est que $HTTP....FOR est un bool&#233;en et que tu teste si cette variable est &#224; TRUE. Hors c'est faux, cette variable est une chaine de caract&#232;res.
Voila pourquoi je te dis que ton code est erron&#233; et qu'il faut utiliser la fonction isset() pour d&#233;terminer la pr&#233;sence de laditte variable.

Maintenant, libre &#224; toi de faire comme tu veux.

FhX · Answer

Ah okay, jviens de capter, je m'emballe un peu pour rien.

Expression r&#233;guli&#232;re sur l'IP... tu trouves ca o&#249; tu veux sur le net.

Mais je maintiens quand m&#234;me ce que je dis codifiant parlant.

cs_Stormy · Answer

Je veux bien être patient (puisque tu l'es avec moi). Je reprend. PHP j'men tamponne royalement. J'me suis pas cassé la tête 8 ans à coder C++ et ASM pour brouter du script (rien contre au demeurant). Il existe un GuestBook (admbook)sur lequel il est possible d'injecter un code PHP par une requête cliente HTTP dont le champ X-Forwarded-For comporte l'evil code. La moitié des sites hébergeant ce Livre d'Or sont des passoires. Les admins prévenus, je pensais juste leur donner le moyen de corriger cette faille en 3 lignes. Note bien ça, FixMan, je vais pas coder en PHP comme si je partais de rien (j'men fous mais j'la déjà dit ça). Le truc, c'est juste de donner une idée sur les expressions à utiliser. Je résume :

1 Champs de données
1 comparaison avec les caractères interdits
1 retour True ou False pour inscription ou non.

Alors t'emballe pas coco et relis le post.
Merci pour l'info sur l'expression régulière sur IP

Bye (jrisque pas de trainer ici moi. jretourne chez les grands)

cs_Stormy · Answer

Je ne suis pas condescendant. je joue au même jeu que ton camarade FhX.
Néanmoins, merci pour tes informations très claires.

cs_infoing · Answer

bonjour je vous cantaque pour m'aider faire un filtre de contenu des pages web esperont que vous pouver m'aider percque c'est le theme de mon projet de fin est  mon probleme c'est que j'ai pas trouver le langage le plus adapter a ce type de l'application est comme faire chercher par contenu dans une pages web

FhX · Answer

Quand on veut faire de la s&#233;curit&#233;, il faut savoir un minimum de choses sur le support &#224; prot&#233;ger.

En l'occurance, je rectifie tes erreurs quand non seulement elles sont d&#233;pr&#233;ci&#233;es, mais en plus peuvent comporter un trou de s&#233;curit&#233; ouvert.
Tu parles justement de s&#233;curit&#233; mais tu ouvres toi m&#234;me les portes pour ca.

Maintenant, que tu codes en ASM c'est super g&#233;nial pour toi. Je respecte cela mais ici point n'est besoin de savoir coder en ASM pour faire du PHP.

Mais bon, Malalam t'as dit la m&#234;me chose que moi mais &#224; peu de choses pr&#232;s...

Filtre de contenu

9 réponses

Votre réponse

Discussions similaires