[PHP 5.3] comportement inatendu,sécurité faille,texte formulaire html preformaté

[benoit910]

Bonjour,
Lors de la création d'un site web j'ai remarqué quelque chose que je n'arrive pas à comprendre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
<html>
<head>
</head>
<body>
<?php
	$a="";
	echo $a;
	if(isset($_POST['a']))
	{
		$a=$_POST['a'];
		echo $a;
	}
?>
<form method="POST" action="index.php" >
<input name="a" type="text" />
<input type="submit" />
</form>
 
</body>
</html>

Au premier chargement de la page le premier echo ne m'affiche rien et le deuxième n'est pas appelé : rien d'anormal!!.

Mais maintenant pour tester mes failles sur le site je remplit le formulaire par a";// je m'attends à ce que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$a="";

devienne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$a="a";//";

équivalent à

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$a="a";

mais contrairement à ce que je m'attendais, il ne m'affiche pas a mais a";//.
Bon,alors c'est génial, je suis content car c'est sécurisé mais je ne comprends pas pourquoi il ne m'a pas afficher tous simplement ce que j’attendais.

La seul explication semble être que php ajoute un antislash devant le guillemet que j'ai entré dans le formulaire mais dans php.ini, j'ai magic_quotes_gpc = Off.

Savez vous d'où peut provenir ce comportement ?
j'utilise xampp 1.7.4 qui utilise PHP 5.3.5 (http://www.apachefriends.org/fr/xampp-windows.html)

merci d'avance pour vos lumières

[Thes32]

Salut,

Peux tu voir ce que donne le petit test suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
echo get_magic_quotes_gpc();
echo PHP_EOL;
echo get_magic_quotes_runtime();

[lucas74]

Non mais.. PHP va simplement affecter à $a la valeur de $_POST['machin'], pas réévaluer son contenu (encore heureux ! sinon ce serait juste impossible de programmer)

[benoit910]

merci pour vos réponses (désoler pour le retard de ma réponse)
lucas74 : oui php semble bien réevaluer mais ce qui m'interresse c'est comment il le fait,pourquoi et si on peut le désactiver.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
echo get_magic_quotes_gpc();
echo PHP_EOL;
echo get_magic_quotes_runtime();

m'affiche respectivement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
0
(---rien n'est affiché pour echo PHP_EOL---)
0

[Bovino]

Citation:

Envoyé par benoit910

lucas74 : oui php semble bien réevaluer mais ce qui m'interresse c'est comment il le fait,pourquoi et si on peut le désactiver.

Chut... tu es le seul à le savoir !
Même PHP n'est pas au courant puisqu'il te ressort tes variables comme elles ont été rentrées (voir ton test)

[jreaux62]

Citation:

Envoyé par benoit910

mais contrairement à ce que je m'attendais, il ne m'affiche pas a mais a";//.
Savez vous d'où peut provenir ce comportement ?

C'est pourtant tout-à-fait logique.
dans a";// : tous les éléments sont considérés comme des strings, des entités (html)
Aucune confusion possible pour php avec le ";" de "fin d'instruction de ligne php" ...

ps : le "/" est appelé string-ficelle attention quand il est dans l'array !

Essaie de faire pour voir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input name="a" type="text" value="<?php echo $a; ?>" />

[Thes32]

Citation:

Envoyé par Bovino

Chut... tu es le seul à le savoir !
Même PHP n'est pas au courant puisqu'il te ressort tes variables comme elles ont été rentrées (voir ton test)

Trop fort !