AccueilCodesTutorielsForumsEmploiLivresGuide achatConnexion

  • PHP CodeS-SourceS
  • RSS CodeS-SourceS
  • CodyxBot, le Bot GTalk & MSN qu'il vous faut !
  • Générez des revenus avec vos codes, scripts et tutoriaux
  • Aide à la navigation du site
begin process at 2009 07 06 20:24:02
Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

Sujet : Sécurité : print $_GET['var']; [ Divers / Débutant(e) ] (supergrey)

samedi 12 mai 2007 à 20:15:40 | Sécurité : print $_GET['var'];

supergrey
Bon pour faire simple, est-ce que ca craint de faire ca dans un fichier php?

$var=$_GET['varname'];
print "voici la valeur de varname : $id";

Quels sont les risques, et comment y remédier silvousplait?

Merci
samedi 12 mai 2007 à 22:54:40 | Re : Sécurité : print $_GET['var'];

Kysic

Membre Club
Salut, pour moi (à confirmer), cela ne présente pas de risque majeur au niveau de l'execution sur le serveur, je ne crois pas que l'on puisse injecter du code php à l'intérieur.
Par contre (ça j'en suis sure) on peut injecter du html (javascript), ce que tu peux éviter en faisant un strip_tags(), mais de toute façon si tu n'écris que le code que tu as donné, une injection javascript n'affectera que celui qui la fait, donc ce n'est pas dangereux non plus.
Voilà mon avis sur la question.
dimanche 13 mai 2007 à 00:40:26 | Re : Sécurité : print $_GET['var'];

juki_webmaster

Membre Club
Réponse acceptée !
Faille XSS http://fr.wikipedia.org/wiki/Cross_site_scripting Se proteger : htmlentities() en front-end. http://fr3.php.net/htmlentities Kysic > injection php NON ! eval() a la limite, tu as dût confondre avec include() en local ... strip_tags() detruit trop le texte pour être utiliser dans ce cas.
dimanche 13 mai 2007 à 08:19:46 | Re : Sécurité : print $_GET['var'];

Kysic

Membre Club
Je disais justement que je ne pensais pas que l'on puisse injecter de php, donc je crois que l'on est d'accord.
Sinon si il fait que ce qui est écrit exactement (c'est à dire qu'il ne sauvegarde le contenu de  GET puis l'affiche pour tous les utilisateurs), il n'y a pas vraiment de faille XSS (je connaissais pas le nom, mais voir mon premier post).
dimanche 13 mai 2007 à 09:43:20 | Re : Sécurité : print $_GET['var'];

supergrey
Merci a tous les deux, en effet meme si cette variable est stockée, elle n'est pas affiché aux autres utilisateurs. Je vais utiliser htmlentities()
Merci

supergrey


Cette discussion est classé dans : var, sécurité, get, print, varname

Répondre à ce message

Sujets en rapport avec ce message

sécurité et méthode get [ par titeuf974 ] Bonjour!! Voila. je souhaiterai avoir un petit renseignement. Je souhaite savoir si il existe un moyen d'avoir un peu plus de sécuriter lorsque que l' Lycos et POST [ par perig ] Bonjours Voila sous lycos je n'arrive pas a créer un form avec pour méthode "post", avec "get" ça marche très bien je récupère bien mes valeurs mais p Encore des questions sur la sécurité en PHP ... [ par shinnokamui ] Bonjour,J'ai encore quelques question sur la sécurité en PHP.Jusqu'à présent, j'utilisais des variable sensibles (GET/POST/...) de type numériques, do Probleme avec connexion mysql [erreur page] [ par bmxman25 ] Bonjour à tous et à toutes, Je suis venu vous voir car j'ai un probléme avec ma base de donnée :Je suis en train de mettre en place un espace membre.J authentification avec php5 [ par ahlemlo ] bonjour à tousj'ai mis ce code qui permet de verifier si le password et le login existe ou pasmais le probléme est que losque je donne le password et Uploader une image sur mon serveur [ par mattand ] Salut à tous,je suis en train de travailler avec Unity3D, un outil de devellopement de jeux 3D destiné a devenir des webplayer. Dans le cadre de ce pr sécurité dans messages [ par m2rtech ] Bonjour, je suis actuellement victime depuis deux jours d'un individuqui laisse des messages de lien type : je souhaite contrer ce type de message en [php] gestion de planning [ par carmii ] Bonjour, Voila, j'aimerai créer une page php qui gèrerait des planning. Pour rentrer dans les détails, j'ai une base de donnée avec différentes tables générer une image svg avec php [ par naej56 ] BonjourJe cherche partout et je ne trouve pas la solution a mon problème.le code que je teste est le suivant:    header("image/svg+xml");     print('' Radio Blog Cherche Solution A Mon Probleme [ par Raptor60d ] Bonjour a tous je viens ici pour trouver de l'aide je me trouve fasse a un problème et n'y connaissant rien au code php je cherche de l'aide j'expliqu


Nos sponsors

Sondage...

CalendriCode

Juillet 2009
LMMJVSD
  12345
6789101112
13141516171819
20212223242526
2728293031  

Consulter la suite du CalendriCode

Comparez les prix Nouvelle version


Console Nintendo DSi Blanche
Entre 160€ et 170€


Visiter le guide achat

Photothèque Nouveau !

Photo sitges beachPhoto Cockpit Airbus A320
Photo femme plage beautéPhoto 3D rendering of an architecture model 5

Visiter la photothèque


Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés
Temps d'éxécution de la page : 7,441 sec

Google Coop CodeS-SourceS Google Coop CodeS-SourceS


Certaines images présentes sur le site (notament certains avatars) sont issues des collections IconShock, donc si vous souhaitez utiliser ces icons vous devez les acheter, ne les copiez pas et ne utilisez pas dans vos sites et applications sans les avoir commandé.