CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

begin process at 2012 05 27 18:29:36

Accueil Codes Tutoriels Forum Livres Emploi Services Connexion

Trouver un code source :

dans

[ Dernières recherches ]

Accueil >

SÉCURISÉ LES INCLUDES PAR GET

Information sur la source

Note :

9,00 / 10

Catégorie :Sécurité & Cryptage Niveau :Initié Date de création :08/03/2005 Date de mise à jour :09/11/2005 15:13:32 Vu :4 212

Auteur : HyWaN

Ecrire un message privé

Site perso

Commentaire sur cette source (10)

Ajouter un commentaire et/ou une note

Description

Bonjour :)
Alors j'ai fais ce petit script pour sécurisé les includes par get, on ne peut pas remonter dans l'arborescence, mais des scripts cheloux qu'on aime pas ^^
Toutes idées pour améliorer le code sera la bienvenue :D

Source

<?php
############
# function #
############
function get_secure($var)
{
$str_get =
array(
"../", "./", "..\\", ".\\",
"%00", "<", ">", "!",
"\"", "'", "#", "$", "%",
"(", ")", "*", "+", ",",
"-", ":", ";", "=", "?",
"@", "[", "]", "\\", "^",
"`", "~", "?", "?" ,"?",
"%", "?"
);
foreach($str_get as $strbad)
{
$var = urlencode($var);
$var = str_replace($strbad, '', $var);
$var = strtr($var, "ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ",
"AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn"
);
$var = htmlentities($var);
}
return urldecode($var);
}
#############
# index.php #
#############
// on the top of page
include(/*function*/);
foreach($_GET as $key => $value)
{
${$key} = get_secure($value);
}
// so :
// $_GET['inc']; will be $inc;
?>

<?php

############
# function #
############

function get_secure($var)
{
	$str_get =
		array(
			  "../", "./", "..\\", ".\\",
			  "%00", "<", ">", "!",
			  "\"", "'", "#", "$", "%",
			  "(", ")", "*", "+", ",",
			  "-", ":", ";", "=", "?",
			  "@", "[", "]", "\\", "^",
			  "`", "~", "?", "?" ,"?",
			  "%", "?" 
			 );
			 	
	foreach($str_get as $strbad)
	{
		$var = urlencode($var);
		$var = str_replace($strbad, '', $var);
		$var = strtr($var, "ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ",
						   "AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn"
					);
		$var = htmlentities($var);
	}
	
	return urldecode($var);
}

#############
# index.php #
#############

// on the top of page
include(/*function*/);
foreach($_GET as $key => $value)
{
	${$key} = get_secure($value);
}
// so :
// $_GET['inc']; will be $inc;

?>

Conclusion

Je n'ai montré ici qu'une seule facon de faire mais on peut sécurisé avec file_exists(); etc ... mais ce n'est pas le but de ma source ;o)

Historique

08 mars 2005 10:05:02 :
08 mars 2005 17:43:41 :
09 mars 2005 13:27:21 :
09 novembre 2005 15:13:32 :: mise a jour des urls (les scripts n'existant plus)

Sources du même auteur

COLORISATION SYNTAXIQUE D'HTML

COLORATION SYNTAXIQUE DE CSS

NOM DU FICHIER SANS L'EXTENSION

Toutes les sources de HyWaN

Sources de la même categorie

CAPTCHA AJAX ANTI-BOT par darkvador59

ACCÈS, ESPACE MEMBRE AVEC INSCRIPTION ET DÉSINSCRIPTION PAR ... par stephelle

CRYPTAGE REVERSIBLE par Mokost

CREATION DE COMPTE AVEC CRYPTAGE ET ESPACE DE CONNEXION SEC... par bm1982

PROTÉGEZ VOS LIENS DE TÉLÉCHARGEMENT PAR MOT DE PASSE ET/OU ... par unlien

Toutes les sources de la catégorie Sécurité & Cryptage

Commentaires et avis

Commentaire de Kevin007 le 08/03/2005 17:19:01

Salut ;)

Dans $str_get tu fais :

$str_get = array( 'machin' => '', 'lol' => '' ); a chaque fois, pourquoi ne pas remplacer ton str_replace :

$var = str_replace($strbad, $strrepl, $var);

PAR :

$var = str_replace( $strbad, '', $var );

A+ ;)

Commentaire de HyWaN le 08/03/2005 17:32:42

parce que c'était pas tout le tps lol pis vue que j'avais modifier le code bah j'avais pas fait gaffe ;)
merci lol ...(j'ai honte :p) je vais modifier ca ;o)

Commentaire de HyWaN le 08/03/2005 17:33:24

dsl avant les modifications j'en avais besoin mais c'est vrai que now ^^ merci je vais modifier ca :p

Commentaire de JoJo738 le 08/03/2005 17:52:07

Bonjour,
Alors tu peux faire :
    $str_get =
        array(
                '../', './', '..\\', '.\\',
                '%00', '<' => '<', '>' => '&gt', '!',
                '\'', ''', '#', '$', '%',
                '(', ')', '*', '+', ',',
                '-', ':', ';', '=', '?',
                '@', '[', ']', '\\', '^',
                '`', '~', '¤', '…', 'ˆ',
                '%', '‰'
             );

        $var = str_replace($strbad, '', $var);
        $var = strtr($var, 'ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ',
                             'AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn'
                    );

Sinon bonne idée, et bon script.

Commentaire de fg85 le 08/03/2005 23:08:16

Je suis ravis bravo ! 9/10
Car j'utiliserai plutot :
$var = str_replace($strbad, '', $var);
$var = strtr($var, 'ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ', 'AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn'
-------------------------------------------
http://fg.logiciel.free.fr

Commentaire de Kirua le 09/03/2005 07:37:22

Si le problème ce sont les accents, autant utiliser url_encode / url_decode. Si ce que tu veux c'est empêcher les inclusions sauvages, suffit de lister les pages autorisées dans un tableau, c'est ce qu'il y a de plus sûr.

Commentaire de HyWaN le 09/03/2005 13:21:40

uè c'est sur mais si t'as un site comme le mien ou tu as 1500 fichiers :s bah t'as pas fini ^^ lol
c'est vrai on peut faire des scrips de listage etc ... mais je prend note de vos remarques ;o) merci et bonne apétit :D

Commentaire de Kirua le 09/03/2005 14:48:42

si t'as 1500 pages possibles, ben trouve un autre système (tu peux par exemple factoriser par catégorie).

Commentaire de HyWaN le 09/03/2005 14:51:47

ok merci j'y penserais ;o)
merci bcp :)

Commentaire de MATHIS49 le 03/06/2005 01:35:29

Ca vas mettre utile merci, je te met 9 !

Ajouter un commentaire

Nos sponsors

Derniers Blogs

IMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg

KINECT 1.5 IS OUT ! par Vko

LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc

REACTIVE EXTENSIONS : CONSOMMER DES SERVICES AVEC RX PARTIE 3, LES PIèGES à éVITER par Groc

SHAREPOINT BLOG SITE, PROBLèME D'ARCHIVES par junarnoalg

Forum

RE : REMPLIR UN TABLEAU à PARTIR DE LA FIN par Jeromedu79

RE : MYSQL_FETCH_ASSOC par moumenxavi

RE : MYSQL_FETCH_ASSOC par inwebo

RE : REMPLIR UN TABLEAU à PARTIR DE LA FIN par inwebo

RE : CHANGER LE CONTENU D'UNE PAGE WEB EN PHP EN CLIQUAN SUR UN BOUTON (J'AI BESOIN D'AIDE) par inwebo

Côté IT

Offres d'emploi

Formations Video

Appels d'offres

Realisation d-une version 2 d-un site e-commerce existant sous prestashop-REPUBLICATION
Budget : 5 000€
Recherche Infogerance Serveur Debian Linux
Budget : 1 800€
Creation d-un site vitrine avec MagentO
Budget : 2 000€

Logiciels

sDEVIS-FACTURES vlPRO (8.1.0.3)
SDEVIS-FACTURES VLPRO (8.1.0.3)

sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa...

Cliquez pour télécharger sDEVIS-FACTURES vlPRO
974 Application Server (12.2.4.6)
974 APPLICATION SERVER (12.2.4.6)

Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc...

Cliquez pour télécharger 974 Application Server
vPicture (1.4.2.1)
VPICTURE (1.4.2.1)

Avec vPicture, hébergez vos images facilement et rapidement. vPicture est un utilitaire simple, ...

Cliquez pour télécharger vPicture
Easy-Planning (2.2.1.6)
EASY-PLANNING (2.2.1.6)

Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au...

Cliquez pour télécharger Easy-Planning
COM-BACKUP (2.0)
COM-BACKUP (2.0)

COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...

Cliquez pour télécharger COM-BACKUP