[Sécurité] Est-il nécessaire de filtrer les variables de session ?

[psychoBob]

bonjour,

Je me demande s'il est utile de filtrer les variables de session. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION[id]=mysql_real_escape_string(htmlspecialchars($_SESSION[id]))

C'est valable ou inutile selon vous ?

[Yogui]

Salut

Avant toute chose, il convient de rappeler que les fonctions htmlentities() et htmlspecialchars() ne devraient pas être appliqués systématiquement avant d'insérer des chaînes dans une BDD mais après.

Ensuite, concernant ta question, tout dépend de ta politique.
Si tu filtres les données avant de les mettre dans la session, tu n'as plus besoin de le faire par la suite.

Tout dépend...
D'un certain point de vue, l'utilisateur n'a aucun contrôle sur tes sessions. D'un autre, si ton code n'est pas parfait, l'utilisateur peut avoir un certain contrôle sur les sessions...

La meilleure solution est d'adopter une technique imparable comme, par exemple, le poka-yoké suggéré par macbook il y a quelque temps.

[psychoBob]

Merci pour ta réponse,

Citation:

Ensuite, concernant ta question, tout dépend de ta politique.
Si tu filtres les données avant de les mettre dans la session, tu n'as plus besoin de le faire par la suite.

Oui je filtre avant, mais justement, j'ai pensé à cela : une personne pirate une session en la sniffant : de là elle doit pouvoir balancer une variable de session trafiquée dans la base.
Donc ne vaut-il pas mieux la filtrer tout de même, si elle est utilisée pour une requête sql ? Et si oui, la syntaxe que j'ai écrit plus haut est-elle correcte ?

Citation:

D'un certain point de vue, l'utilisateur n'a aucun contrôle sur tes sessions. D'un autre, si ton code n'est pas parfait, l'utilisateur peut avoir un certain contrôle sur les sessions...

Si tu peux en dire plus...

Citation:

La meilleure solution est d'adopter une technique imparable comme, par exemple, le poka-yoké suggéré par macbook il y a quelque temps.

J'ignore ce qu'est ce poka-yoké.

[Yogui]

Citation:

Envoyé par psychoBob

Oui je filtre avant, mais justement, j'ai pensé à cela : une personne pirate une session en la sniffant : de là elle doit pouvoir balancer une variable de session trafiquée dans la base.
Donc ne vaut-il pas mieux la filtrer tout de même, si elle est utilisée pour une requête sql ?

Si ton gars arrive à sniffer une session, il est bigrement fort (ou ton site a de vraies vraies failles), puisqu'il me semble que tout se passe en local pour les sessions. Rien ne transite par le réseau, ce ne sont pas des cookies. C'est tout depuis la RAM jusqu'à la RAM du serveur. Si ton gars arrive à s'introduire dans ta session, alors je pense qu'il est déjà trop tard pour toi. Plus la peine de filtrer quoi que ce soit : le pirate a déjà fait ce qu'il voulait.

Citation:

Envoyé par psychoBob

Et si oui, la syntaxe que j'ai écrit plus haut est-elle correcte ?

Non, je l'ai dit plus haut, tu ne devrais pas utiliser htmlcspecialchars() car ce n'est pas une fonction de filtrage mais d'affichage.
En outre, il est préférable de traiter les valeurs numériques en tant que telles plutôt que de leur appliquer mysql_real_escape_string() car, comme son nom l'indique, cette fonction est à destination des chaînes de caractères

Citation:

Envoyé par psychoBob

Si tu peux en dire plus...

Filtrage imparfait ==> possibilité d'intrusion ==> tu peux avoir très mal.

Citation:

Envoyé par psychoBob

J'ignore ce qu'est ce poka-yoké.

Je t'ai donné tous les mots clefs pour trouver de quoi il s'agit, soit ici soit ailleurs.


Pour terminer, je rappelle que ce sujet a été traité je ne sais combien de fois et qu'il y a plusieurs pages de réponses très intéressantes dans le sujet sur la sécurité.