[Sécurité] Sécurité de 'test.php?page=truc'

Yoshio · 14/08/2006, 10h14

Bonjour,

Certain vont sûrement penser pourquoi je perd mon temps avec des truc pareille lol mais bon ...

On a un url du type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.mon-site.com/index.php?page=truc

'truc' n'étant pas une page valide autorisée (voici la bête question)
Ça serait mieux
- d'afficher un message d'erreur
- ou d'afficher la page d'accueil
- ou autre chose ?!

J'ai une autre question un peu plus intelligente cette fois ci lol

Est-ce vraiment sécurisé de faire un site de ce style ci ?
Une page index.php avec un include dedans selon la variable passé en url (biensur il y aura un teste pour voir si la page existe et peut être affichée)

wamania · 14/08/2006, 10h57

Salut

Pour la première question :
Perso, je serais pour un message d'erreur, puis une redirection vers la page d'accueil.
Le message d'erreur fait comprendre à un éventuel "hacker" que tu as prévu ce cas. Il est important pour l'image de sécurité de montrer que tu y a pensé.

Pour les passage de page par url, emploie plutot un code, même simplissime, mais qui ne reflète pas la réalité directe de tes pages (nom de fichier...)
En gros, pas de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include $_GET['page'].'.php';

mais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if ($page == $code_page_truc)
{
    include 'truc.php';
}
// $code_page_truc peut etre un nombre, un code aléatoire....

Yoshio · 14/08/2006, 11h00

Citation:

Envoyé par wamania

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if ($page == $code_page_truc)
{
    include 'truc.php';
}
// $code_page_truc peut être un nombre, un code aléatoire....

Je ne comprend pas à quoi sert ce code ?!

wamania · 14/08/2006, 11h19

En gros, au lieu de
http://www.mon-site.com/index.php?page= truc

puis,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include truc.php

Je préfère
http://www.mon-site.com/index.php?page=1gjdffy85

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if ($page == '1gjdffy85')
{
    include 'truc.php';
}

Yoshio · 14/08/2006, 11h27

Ah ouias j'avais prévu de ne pas mettre le même nom que le nom du fichier

Mais il ne faut pas mettre 'gdfh5h4hfg5gfh' car pour le référencement ... lol

wamania · 14/08/2006, 11h31

oui évidemment, c'est exagéré. Comme j'ai dit, n'importe quoi autre que nom de fichier.
En général, je me contente des ID de mes pages en BDD, ou des 3 premières lettres du nom de la page.

Yoshio · 14/08/2006, 11h55

J'aimerais savoir aussi si c'est une bonne idée de faire son site comme ça ?

14/08/2006, 10h14	#1
Yoshio Rédacteur Inscription : septembre 2005 Messages : 1 741 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : Belgique Informations forums : Inscription : septembre 2005 Messages : 1 741 Points : 1 497 Points : 1 497	[Sécurité] Sécurité de 'test.php?page=truc' Bonjour, Certain vont sûrement penser pourquoi je perd mon temps avec des truc pareille lol mais bon ... On a un url du type : Code : Sélectionner tout - Visualiser dans une fenêtre à part http://www.mon-site.com/index.php?page=truc 'truc' n'étant pas une page valide autorisée (voici la bête question) Ça serait mieux - d'afficher un message d'erreur - ou d'afficher la page d'accueil - ou autre chose ?! J'ai une autre question un peu plus intelligente cette fois ci lol Est-ce vraiment sécurisé de faire un site de ce style ci ? Une page index.php avec un include dedans selon la variable passé en url (biensur il y aura un teste pour voir si la page existe et peut être affichée)
	00

14/08/2006, 11h31	#6
wamania Rédacteur Développeur Web Inscription : juillet 2003 Messages : 676 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juillet 2003 Messages : 676 Points : 678 Points : 678	oui évidemment, c'est exagéré. Comme j'ai dit, n'importe quoi autre que nom de fichier. En général, je me contente des ID de mes pages en BDD, ou des 3 premières lettres du nom de la page. __________________ Articles sur developpez.com - Gestion des exceptions avec PHP5 - Chiffrement et hash en PHP contre l'attaque Man in the middle - Aedituus - Espace membre sécurisé en PHP5 Lithium : ORM ActiveRecord PHP5 extrêmement léger
	00

14/08/2006, 11h27	#5
Yoshio Rédacteur Inscription : septembre 2005 Messages : 1 741 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : Belgique Informations forums : Inscription : septembre 2005 Messages : 1 741 Points : 1 497 Points : 1 497	Ah ouias j'avais prévu de ne pas mettre le même nom que le nom du fichier Mais il ne faut pas mettre 'gdfh5h4hfg5gfh' car pour le référencement ... lol
	00

14/08/2006, 11h55	#7
Yoshio Rédacteur Inscription : septembre 2005 Messages : 1 741 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : Belgique Informations forums : Inscription : septembre 2005 Messages : 1 741 Points : 1 497 Points : 1 497	J'aimerais savoir aussi si c'est une bonne idée de faire son site comme ça ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email