[Sécurité] Passage de variable en GET

meda · 01/03/2006, 12h51

Bonjour tout le monde,

Je suis entrain de faire un site internet en php et j'aurais quelques questions :

1. Certains sites ont une url de type www.monsite.com/index.php?num=unnombre (comme pixmania je crois)
Je voudrais savoir quels sont les avantages et les inconvenients de ce type d'architecture ?( Je sais commment le faire mais je n'ai pas envie de m'aventurer dans une chose qui ne sert à rien et qui prends du temps).

2. ADODB ou PDO ?

et puis c'est tout pour l'instant.

Merci beaucoup pour votre aide.

ciesco · 01/03/2006, 13h05

En general quand tu vois ca c'est que il y a un traitement derriere avec un moteur de template existant ou fait maison...
Groso modo tu recupere le Get et ca te permet de faire un include de la partie qui t'interresse.
L'avantage est enorme car ca te permet de separer le code de ta presentation. Souvent ca corespond a une prog oriente objet comem tu dis mais c'est pas non plus obligatoire.

zulkifli · 01/03/2006, 13h06

L'inconvenient à première vu c'est qu'on peut modifier l'url. Il faut alors conctroler le parametre $_GET

dev_php_205 · 01/03/2006, 13h31

Citation:

Envoyé par zulkifli

L'inconvenient à première vu c'est qu'on peut modifier l'url. Il faut alors conctroler le parametre $_GET

Ce qui est un avantage ... On peut ainsi controler que la personne connectee a le droit d'afficher la page !
C'est que je fais. Je recupere le Get et je compare avec les droits de l'utilisateur (qui appartient a un groupe ) s'il est autorise ou non a afficher la page ... Ce qui empeche de tapper l'url en direct .. il faut a chaque fois passer par index qui test !

meda · 01/03/2006, 13h34

J'ai déjà un moteur de template mais en fait je voulais savoir si une telle architecture n'avait pas des défauts, genre cela est plus long côté serveur, faille de sécurité....
Pour ce qui est de la modification de l'url, il y aura un controle par session et htaccess après.

ciesco · 01/03/2006, 13h40

Non si tu as un moteur de template (un bon...) au contraire ca sera plus rapide. En partant du principe que 1000 personen qui reflechisse ensemble optimise mieux que toi tout seul...

meda · 01/03/2006, 13h50

En fait j 'essaie d'optimiser au maximun mon code et les temps de chargement des pages et comme je ne trouve pas de site ou cela est expliqué.
Sinon j'ai une autre question :
Il vaut mieux avoir une page avec un formulaire ->une page de traitement->une page de reponse ou un page formulaire->une page de traitement puis affichage ou etc ....

zulkifli · 01/03/2006, 13h52

Citation:

Envoyé par dev_php_205

Citation:

Envoyé par zulkifli

L'inconvenient à première vu c'est qu'on peut modifier l'url. Il faut alors conctroler le parametre $_GET

Ce qui est un avantage ... On peut ainsi controler que la personne connectee a le droit d'afficher la page !
C'est que je fais. Je recupere le Get et je compare avec les droits de l'utilisateur (qui appartient a un groupe ) s'il est autorise ou non a afficher la page ... Ce qui empeche de tapper l'url en direct .. il faut a chaque fois passer par index qui test !

Ouais mais un $_GET est toujours modifiable dans l'url
regarde pour une architecture qui fonctionne de cette manière

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
include( $_GET['page'].".php" );

n'est pas sécurisée, préférons

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if( file_exists($_GET['page'].".php") ){
   include( $_GET['page'].".php" );
}

dev_php_205 · 01/03/2006, 14h01

je ne fais pas comme cela .

Je dépile tout le GET, je compare avec un tableau qui pour chaque groupe donne les pages autorisees. Le groupe est connu par la connection de l'utilisateur.
Si la page demandee n'est pas autorisee je redirige vers une page d'avertissement. Sinon j'appel la page demandée en remettant les param en GET.
Dans toutes mes pages j'inclus le test. Je fait idem avec les params passes a chaque page.
Ceci n'empeche evidemment pas de tester l'integrite des valeurs de chaque param. Mais ca c'est fait apres.
Mais tout ca c'est pour un intranet. Aucun probleme de lenteur de serveur ou de temps de chargement de page ...

zulkifli · 01/03/2006, 14h17

ok dev_php_205 je voulais juste dire a meda que le seul inconvénient de travailler avec les $_GET (en géneral) était de rigoureusement les controler (ce que tu fais) car il peuvent être modifiés. Mais tout dépend de l'achitecture, qui est propre à chaque developeur

meda · 01/03/2006, 14h31

Non mais en fait je sais comment faut faire

(je fais comme dev_php_205)
mais je voulais juste savoir s'il n'y avait pas d'inconvenient avec cette méthode et si cela est vraiment profitable pour le site.

Sinon personne peut me dire lequel est le mieux entre adodb et pdo ?

01/03/2006, 12h51	#1
meda Futur Membre du Club Inscription : mars 2003 Messages : 95 Détails du profil Informations forums : Inscription : mars 2003 Messages : 95 Points : 15 Points : 15	[Sécurité] Passage de variable en GET Bonjour tout le monde, Je suis entrain de faire un site internet en php et j'aurais quelques questions : 1. Certains sites ont une url de type www.monsite.com/index.php?num=unnombre (comme pixmania je crois) Je voudrais savoir quels sont les avantages et les inconvenients de ce type d'architecture ?( Je sais commment le faire mais je n'ai pas envie de m'aventurer dans une chose qui ne sert à rien et qui prends du temps). 2. ADODB ou PDO ? et puis c'est tout pour l'instant. Merci beaucoup pour votre aide.
	00

01/03/2006, 13h05	#2
ciesco Membre habitué Inscription : février 2004 Messages : 110 Détails du profil Informations forums : Inscription : février 2004 Messages : 110 Points : 119 Points : 119	En general quand tu vois ca c'est que il y a un traitement derriere avec un moteur de template existant ou fait maison... Groso modo tu recupere le Get et ca te permet de faire un include de la partie qui t'interresse. L'avantage est enorme car ca te permet de separer le code de ta presentation. Souvent ca corespond a une prog oriente objet comem tu dis mais c'est pas non plus obligatoire.
	00

01/03/2006, 13h06	#3
zulkifli Membre habitué Inscription : août 2005 Messages : 142 Détails du profil Informations forums : Inscription : août 2005 Messages : 142 Points : 124 Points : 124	L'inconvenient à première vu c'est qu'on peut modifier l'url. Il faut alors conctroler le parametre $_GET
	00

01/03/2006, 13h34	#5
meda Futur Membre du Club Inscription : mars 2003 Messages : 95 Détails du profil Informations forums : Inscription : mars 2003 Messages : 95 Points : 15 Points : 15	J'ai déjà un moteur de template mais en fait je voulais savoir si une telle architecture n'avait pas des défauts, genre cela est plus long côté serveur, faille de sécurité.... Pour ce qui est de la modification de l'url, il y aura un controle par session et htaccess après.
	00

01/03/2006, 13h40	#6
ciesco Membre habitué Inscription : février 2004 Messages : 110 Détails du profil Informations forums : Inscription : février 2004 Messages : 110 Points : 119 Points : 119	Non si tu as un moteur de template (un bon...) au contraire ca sera plus rapide. En partant du principe que 1000 personen qui reflechisse ensemble optimise mieux que toi tout seul...
	00

01/03/2006, 13h50	#7
meda Futur Membre du Club Inscription : mars 2003 Messages : 95 Détails du profil Informations forums : Inscription : mars 2003 Messages : 95 Points : 15 Points : 15	En fait j 'essaie d'optimiser au maximun mon code et les temps de chargement des pages et comme je ne trouve pas de site ou cela est expliqué. Sinon j'ai une autre question : Il vaut mieux avoir une page avec un formulaire ->une page de traitement->une page de reponse ou un page formulaire->une page de traitement puis affichage ou etc ....
	00

01/03/2006, 14h01	#9
dev_php_205 Membre habitué Inscription : février 2006 Messages : 109 Détails du profil Informations forums : Inscription : février 2006 Messages : 109 Points : 120 Points : 120	je ne fais pas comme cela . Je dépile tout le GET, je compare avec un tableau qui pour chaque groupe donne les pages autorisees. Le groupe est connu par la connection de l'utilisateur. Si la page demandee n'est pas autorisee je redirige vers une page d'avertissement. Sinon j'appel la page demandée en remettant les param en GET. Dans toutes mes pages j'inclus le test. Je fait idem avec les params passes a chaque page. Ceci n'empeche evidemment pas de tester l'integrite des valeurs de chaque param. Mais ca c'est fait apres. Mais tout ca c'est pour un intranet. Aucun probleme de lenteur de serveur ou de temps de chargement de page ...
	00

01/03/2006, 14h17	#10
zulkifli Membre habitué Inscription : août 2005 Messages : 142 Détails du profil Informations forums : Inscription : août 2005 Messages : 142 Points : 124 Points : 124	ok dev_php_205 je voulais juste dire a meda que le seul inconvénient de travailler avec les $_GET (en géneral) était de rigoureusement les controler (ce que tu fais) car il peuvent être modifiés. Mais tout dépend de l'achitecture, qui est propre à chaque developeur
	00

01/03/2006, 14h31	#11
meda Futur Membre du Club Inscription : mars 2003 Messages : 95 Détails du profil Informations forums : Inscription : mars 2003 Messages : 95 Points : 15 Points : 15	Non mais en fait je sais comment faut faire (je fais comme dev_php_205) mais je voulais juste savoir s'il n'y avait pas d'inconvenient avec cette méthode et si cela est vraiment profitable pour le site. Sinon personne peut me dire lequel est le mieux entre adodb et pdo ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email