Accueil > Forum > > > > Sécurité : print $_GET['var'];
 Sécurité : print $_GET['var'];
samedi 12 mai 2007 à 20:15:40 |
Sécurité : print $_GET['var'];
supergrey
|
Bon pour faire simple, est-ce que ca craint de faire ca dans un fichier php? $var=$_GET['varname']; print "voici la valeur de varname : $id"; Quels sont les risques, et comment y remédier silvousplait? Merci |
|
samedi 12 mai 2007 à 22:54:40 |
Re : Sécurité : print $_GET['var'];
Kysic
|
Salut, pour moi (à confirmer), cela ne présente pas de risque majeur au niveau de l'execution sur le serveur, je ne crois pas que l'on puisse injecter du code php à l'intérieur.
Par contre (ça j'en suis sure) on peut injecter du html (javascript), ce que tu peux éviter en faisant un strip_tags(), mais de toute façon si tu n'écris que le code que tu as donné, une injection javascript n'affectera que celui qui la fait, donc ce n'est pas dangereux non plus.
Voilà mon avis sur la question.
|
|
dimanche 13 mai 2007 à 00:40:26 |
Re : Sécurité : print $_GET['var'];
juki_webmaster
|
Réponse acceptée !
Faille XSS
http://fr.wikipedia.org/wiki/Cross_site_scripting
Se proteger : htmlentities() en front-end.
http://fr3.php.net/htmlentities
Kysic > injection php NON ! eval() a la limite, tu as dût confondre avec include() en local ... strip_tags() detruit trop le texte pour être utiliser dans ce cas.
|
|
dimanche 13 mai 2007 à 08:19:46 |
Re : Sécurité : print $_GET['var'];
Kysic
|
Je disais justement que je ne pensais pas que l'on puisse injecter de php, donc je crois que l'on est d'accord.
Sinon si il fait que ce qui est écrit exactement (c'est à dire qu'il ne sauvegarde le contenu de GET puis l'affiche pour tous les utilisateurs), il n'y a pas vraiment de faille XSS (je connaissais pas le nom, mais voir mon premier post).
|
|
dimanche 13 mai 2007 à 09:43:20 |
Re : Sécurité : print $_GET['var'];
supergrey
|
Merci a tous les deux, en effet meme si cette variable est stockée, elle n'est pas affiché aux autres utilisateurs. Je vais utiliser htmlentities()
Merci
supergrey
|
|
Cette discussion est classée dans : var, sécurité, get, print, varname
 Répondre à ce message
 Sujets en rapport avec ce message
sécurité et méthode get [ par titeuf974 ]
Bonjour!! Voila. je souhaiterai avoir un petit renseignement. Je souhaite savoir si il existe un moyen d'avoir un peu plus de sécuriter lorsque que l'
Encore des questions sur la sécurité en PHP ... [ par shinnokamui ]
Bonjour,J'ai encore quelques question sur la sécurité en PHP.Jusqu'à présent, j'utilisais des variable sensibles (GET/POST/...) de type numériques, do
Lycos et POST [ par perig ]
Bonjours Voila sous lycos je n'arrive pas a créer un form avec pour méthode "post", avec "get" ça marche très bien je récupère bien mes valeurs mais p
Tableau Php vers Javascript. [ par braingnac ]
Pourrais-t-on me dire comment utiliser un tableau à deux dimensions ,créé en php, dans une fonction javascript.Voici le code :print "function showInvo
erreur GET/POST [ par lolo49 ]
lolo49bonjour,j'ai un souci avec PHP4je résume : j'ai une base de donnée MySql avec des clientsje peux soit - afficher la liste complète so
Index [ par eryk71 ]
bonjourjaimerai avoir un script pour faire un index des pages. cad que jaimerai afficher 10 images par pages et que les index (page 1, page2 etc) apar
Problème session_start(); [ par rems02 ]
Je n'arrive pas à ouvrir une session.Si j'envoie ça au serveursession_start();session_register("login");session_register("pass");$nick=$HTTP_SESSION_V
upload fichier [ par perig ]
Salut!!Alors voila mon petit prob...J'essai d'uploader un fichier sur mon site mais ça marche pas .J'utilise un code tout con mais ça marche pas et je
adresse invariable [ par mikedimoi ]
Connais po grand chose!désolé!!Bonjour!J'ai fait un script mais maintenant, je bloque.Si:...script language="javascript">function fRedir(){ var FTPUrl
url & variable [ par fab_59 ]
Est il possible, de modifier la valeur d'une variable d'un doc php, en mettant dans l'url un code specifique?url?$var=prenom ????c( pour rediriger un
 Livres en rapport
|
Derniers Blogs
 GESTION D'EXCEPTION AVEC LES TASKSGESTION D'EXCEPTION AVEC LES TASKS par richardc
Nous avons vu dans un précédent article comment utiliser Task pour effectuer des opérations dans un autre thread.
Malheureusement, comme tout le monde n'est pas parfait, il se peut que cette exécution se passe mal et qu'une exception se produise.
La...
Cliquez pour lire la suite de l'article par richardc DéMARRONS AVEC LES TASKSDéMARRONS AVEC LES TASKS par richardc
Que vous le vouliez ou non, le développement multi-tâche est maintenant une obligation pour toute nouvelle application. Il est donc vital d'en comprendre les mécanismes et de s'y mettre le plus tôt possible.
En attendant le .NET Framework 4.5 avec le...
Cliquez pour lire la suite de l'article par richardc SLIDE & DéMO TECHDAYS 2012 - FAST & FURIOUS XAML APPSSLIDE & DéMO TECHDAYS 2012 - FAST & FURIOUS XAML APPS par Vko
Retrouvez les slides et les démo de ma session Fast & Furious XAML Apps. A ceux qui se posent la question : "est-ce que le code de la DataGrid est disponible?", je vous répondrais "pas encore". Je vais mettre en place un projet codeplex pour part...
Cliquez pour lire la suite de l'article par Vko XNA IS DEAD!XNA IS DEAD! par richardc
Depuis la semaine dernière (et grâce aux TechDays 2012), je me penche activement sur la nouvelle version de Windows, aka Windows 8. Vous me direz, il était temps puisque la première preview date de Septembre dernier.
OK. Remarquez, on n'en est qu'aux...
Cliquez pour lire la suite de l'article par richardc TECHDAYS PARIS 2012 : WINDOWS SERVER "8" QUOI DE 9 !TECHDAYS PARIS 2012 : WINDOWS SERVER "8" QUOI DE 9 ! par ROMELARD Fabrice
Speakers: Fabrice Meillon et Stanislas Quastana Cette session est basée entièrement sur celle donnée lors de la BUILD cet hiver. Il n'y a pas d'ajout d'information en rapport avec cet évènement passé. Windows 8 Server sera intégralem...
Cliquez pour lire la suite de l'article par ROMELARD Fabrice
Logiciels
 DocTranslate (V3.1.0.0)DOCTRANSLATE (V3.1.0.0)DocTranslate est un traducteur de document Microsoft Word, PowerPoint et Excel. Il permet d'autom... Cliquez pour télécharger DocTranslate Tribler (2012)TRIBLER (2012)Tribler est un client pair à pair (P2P/Peer-to-Peer) open source avec la capacité de regarder des... Cliquez pour télécharger Tribler OneSwarm (2012)ONESWARM (2012)Le peer-to-peer qui protège votre vie privée, c'est OneSwarm.
Ce logiciel de peer-to-peer crypté... Cliquez pour télécharger OneSwarm PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO (V8.4)PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO (V8.4)PONAMEDIA TV DEVIENS HELLLOOO FLASH
LA TV SUR VOTRE ORDINATEUR.
Toute une plateforme Multi... Cliquez pour télécharger PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO Academy System (17.2.1.0)ACADEMY SYSTEM (17.2.1.0)Logiciel de gestion des établissements.
- élèves/étudiants (inscription, dossier, absence...)
-... Cliquez pour télécharger Academy System
|