cs_supergrey
Messages postés475Date d'inscriptionvendredi 27 juin 2003StatutMembreDernière intervention20 septembre 2010
-
12 mai 2007 à 20:15
cs_supergrey
Messages postés475Date d'inscriptionvendredi 27 juin 2003StatutMembreDernière intervention20 septembre 2010
-
13 mai 2007 à 09:43
Bon pour faire simple, est-ce que ca craint de faire ca dans un fichier php?
$var=$_GET['varname'];
print "voici la valeur de varname : $id";
Quels sont les risques, et comment y remédier silvousplait?
Kysic > injection php NON ! eval() a la limite, tu as dût confondre avec include() en local ... strip_tags() detruit trop le texte pour être utiliser dans ce cas.
cs_Kysic
Messages postés332Date d'inscriptionmardi 12 juillet 2005StatutMembreDernière intervention17 juillet 2010 12 mai 2007 à 22:54
Salut, pour moi (à confirmer), cela ne présente pas de risque majeur au niveau de l'execution sur le serveur, je ne crois pas que l'on puisse injecter du code php à l'intérieur.
Par contre (ça j'en suis sure) on peut injecter du html (javascript), ce que tu peux éviter en faisant un strip_tags(), mais de toute façon si tu n'écris que le code que tu as donné, une injection javascript n'affectera que celui qui la fait, donc ce n'est pas dangereux non plus.
Voilà mon avis sur la question.
cs_Kysic
Messages postés332Date d'inscriptionmardi 12 juillet 2005StatutMembreDernière intervention17 juillet 2010 13 mai 2007 à 08:19
Je disais justement que je ne pensais pas que l'on puisse injecter de php, donc je crois que l'on est d'accord.
Sinon si il fait que ce qui est écrit exactement (c'est à dire qu'il ne sauvegarde le contenu de GET puis l'affiche pour tous les utilisateurs), il n'y a pas vraiment de faille XSS (je connaissais pas le nom, mais voir mon premier post).
cs_supergrey
Messages postés475Date d'inscriptionvendredi 27 juin 2003StatutMembreDernière intervention20 septembre 2010 13 mai 2007 à 09:43
Merci a tous les deux, en effet meme si cette variable est stockée, elle n'est pas affiché aux autres utilisateurs. Je vais utiliser htmlentities()
Merci