sécuriser un get [Résolu]

[papaye0]

Bonjour a tous, je sais que ce sujet est largement abordé mais j'ai bien du mal a comprendre.
Alors voila dans mon url j'indique de dossier dans le quel mon script doit s’exécuter, et j'utilise donc dans ma page GET afin de récupérer cette indication.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$dir_r = $_GET["rep"];

Le problème est que l'on peut accéder a la racine de mon serveur en modifiant l'url du coup. Je voudrais donc la sécuriser, mais mes tentatives son vaines

Voulez vous bien m'aider ?
Merci.

[amoiraud]

Tu peut utiliser la fonction htmlspecialchars
Regarde aussi ce lien y'a pas mal d'infos intéressantes sur la sécurité : http://thierrylhomme.developpez.com/php/php_secure/

[papaye0]

Merci de ta raiponce rapide, mais mon url est présenté comme ça
index.php?rep=./toto/tata/
donc si une personne fait ça
index.php?rep=/
toute la racine de mon serveur est affiché
je ne vois pas comment utiliser htmlspecialchars pour parer a ça
où sinon une autre approche pour passer de fichier en fichier sans changer de page php ?

Ps : je ne suis pas bon du tout en php, je me limite normalement au coté graphique

EDIT : J'ai trouvé une parade

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$dir_r = $_GET["rep"];   
$dir_nom = "doc_n/".$dir_r

donc par def c'est "doc_n" sur le quel pointe mon script et du coup tout les liens qui passe par ma variable 'rep=' ont comme racine "doc_n"
et j'ai fais un htmlentities tout de même, merci beaucoup.

Comme je suis persuadé que c'est pas comme ça que l'on code proprement vous pouvez me conseiller je suis toujours a l'écoute de conseille hein

[christoff]

salut papaye0

tu pourrais lister les répertoires "valides" dans un tableau

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$validDir = array('/toto/tata', '/titi');

puis valider avec un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (in_array($_GET['rep'], $validDir))

[papaye0]

Effectivement, mais il y a énormément de répertoires et sous répertoires, il faudrait créer un autre script qui les liste, ce qui ralentirait l’exécution de la page et si jamais c'est un script occasionnel qui stockerait la liste genre dans un txt il y a trop de changement de répertoires en une même journée
Mais je garde l'idée, je n'y avais même pas pensé

Merci

[christoff]

Tu peux peut-être alors stocker la liste les répertoires interdits...

S'il s'agit uniquement de sous-répertoires de /doc_n/ alors ta solution me parait convenable.

[papaye0]

avec une sorte de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (in_array($_GET['rep'], != $validDir)) {}

Edit : ça marche pas, car il est pas tapé directement pour accéder a eux mais avec ".."

[papaye0]

Bon c'est une triste nouvelle mais ma parade ne fonctionne pas totalement son l'on ajoute ".." on remonte toujours
j'ai bien tenté d'interdire l'utilisation de ".." ou l’accès au répertoire parents avec != mais sa me fige tout, je crois que je ne parviens pas a jouter ce bout de code correctement ...........

EDIT :

Je tente une autre approche avec un if ...
pour le moment ça marche bien ".." renvoi a une page vierge pour l'instant,
mais si jamais c'est incrusté comme ça "index.php?rep=/8/../../.." retour a la racine du serveur
il y a pas une solution pour que si jamais il y est de présent dans l'url ".." sa active mon if ?

EDIT 2 :

Bon alors sur ce coup là j'ai trouvé, c'est en regardent le code d'un texte que j'ai eu cette idée a la con

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$in = ('.');
$out = ('/');
$dir_nom = str_replace($in, $out, $dir_nom);

donc voila.

Merci d'avoir pris le temps de m'aider

[amoiraud]

Citation:

Envoyé par christoff

Tu peux peut-être alors stocker la liste les répertoires interdits...

S'il s'agit uniquement de sous-répertoires de /doc_n/ alors ta solution me parait convenable.

Il vaut mieux éviter les listes noires et privilégier les listes blanches, car il est souvent difficile de penser à tous les cas à interdire

[papaye0]

Citation:

Envoyé par amoiraud

Il vaut mieux éviter les listes noires et privilégier les listes blanches, car il est souvent difficile de penser à tous les cas à interdire

Effectivement, on sait jamais. Merci du temps passé