sécurité liste imbriqué et SQL

renardchan · 26/09/2011, 10h52

Bonjour,

J'ai mis en œuvre le tutoriel de listes liées. http://siddh.developpez.com/articles/ajax/. Toutefois, je m’interroge quant à la sécurité de ce code.

En effet on passe une variable javascript vers Php (ici idauteur)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function go(){
				var xhr = getXhr();
				// On défini ce qu'on va faire quand on aura la réponse
				xhr.onreadystatechange = function(){
					// On ne fait quelque chose que si on a tout reçu et que le serveur est ok
					if(xhr.readyState == 4 && xhr.status == 200){
						leselect = xhr.responseText;
						// On se sert de innerHTML pour rajouter les options a la liste
						document.getElementById('livre').innerHTML = leselect;
					}
				}
 
				// Ici on va voir comment faire du post
				xhr.open("POST","ajaxLivre.php",true);
				// ne pas oublier ça pour le post
				xhr.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
				// ne pas oublier de poster les arguments
				// ici, l'id de l'auteur
				sel = document.getElementById('auteur');
				idauteur = sel.options[sel.selectedIndex].value;
				xhr.send("idAuteur="+idauteur);

Ce code est-il sensible à une injection SQL? Suis-je ici obligé de sécuriser les variable envoyées?

Merci.

Bovino · 26/09/2011, 11h01

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)

beegees · 11/10/2011, 19h35

Citation:

Envoyé par Bovino

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)

Qu'entends-tu par "validé" ?

C'est un sujet important qui m'intéresse beaucoup.

Merci d'avance pour ta réponse.

beegees

vermine · 12/10/2011, 07h50

Bonjour,

Cela veut dire que l'on va vérifier les données fournies par l'utilisateur afin de voir s'il a bien encodé ce que nous attendions. Par exemple, là où nous demandions son login, il ne faut surtout pas qu'il encode :

Citation:

Edouard' or 1=1;--

Ce qui correspond à une intrusion malvenue.

De même, si on demande une date de naissance, on ne veut pas recevoir un prénom. Car la base de données attend une date et non un varchar. L'insert va planter.

Donc on va valider le format de chaque données encodées et refuser tout ce qui ne ressemble pas à ce que l'on désire.

26/09/2011, 11h01	#2
Bovino Responsable Développement Web Didier Mouronval Développeur Web Inscription : juin 2008 Messages : 13 807 Détails du profil Informations personnelles : Nom : Didier Mouronval Âge : 41 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juin 2008 Messages : 13 807 Points : 35 789 Points : 35 789	Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées ! Un principe simple : NTUI (Never Trust User Input) __________________ Pas de question technique par MP ! Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi ! Vous possédez un blog et aimeriez diffuser vos billets sur le forum, contactez-moi ! Mes formations video2brain : La formation complète sur JavaScript • JavaScript et le DOM par la pratique • PHP 5 et MySQL : les fondamentaux Mon livre sur jQuery
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email