IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] Interpretation des variables dans PHP


Sujet :

Langage PHP

  1. #1
    Invité
    Invité(e)
    Par défaut [Sécurité] Interpretation des variables dans PHP
    Bonjour a tous !

    J'avais une petite question qui peut paraitre stupide, mais me laisse songeur...
    Supposons que j'autorise un utilisateur a entrer des informations, et que je les stock dans une variable, $dummy par exemple... De plus, je n'effectue aucun controle sur la saisie du client. Y'a t'il un risque de securite ? L'utilisateur peut il entrer des valeurs inhabituelles pour faire faire au code ce qu'il veut ?
    Un peu comme le principe des injections SQL, version php.
    Je precise que cette variable php ne sert qu'a effectuer un traitement quelconque, pas de stockage dans une base de donnees ou d'affichage sur une page web.
    Je suis presque sur que c'est impossible, mais comme c'est du "presque sur"...

    Merci d'avance

  2. #2
    Expert éminent sénior
    Avatar de mathieu
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10 223
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10 223
    Points : 15 516
    Points
    15 516
    Par défaut
    ça dépend ce que tu fais avec cette variable
    si par exemple tu l'affiches dans du code html, le visiteur pourra mettre ce qu'il veut dans ta page html, du code Javascript, plein de code html
    si tu utilises cette variable dans une requête SQL, le visiteur pourra exécuter ce qu'il veut comme requête, lire toute la base ou même supprimer des tables

  3. #3
    Membre régulier
    Profil pro
    Étudiant
    Inscrit en
    Juin 2006
    Messages
    83
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2006
    Messages : 83
    Points : 95
    Points
    95
    Par défaut
    D'une façon générale, il ne faut jamais faire confiance aux informations transmises par un utilisateur. Ne pas faire de contrôle c'est jouer avec le feu et avoir une épée de damocles au dessus de la tête. Laisser faire ce qu'il veut à un utilisateur n'est pas anodin.

    Après ca dépend de la portée de ta variable... mais bon...

  4. #4
    Membre actif

    Profil pro
    Inscrit en
    Juin 2005
    Messages
    171
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : Juin 2005
    Messages : 171
    Points : 218
    Points
    218
    Par défaut
    Bonjour,

    Même si tu n'affiches pas la variable dans du HTML, même si tu ne la stockes pas dans une base de donnée, il y a potentiellement danger.

    Cela dépend des traitements et calculs que tu fais avec ta variable.

    Exemple : la fonction php eval.

  5. #5
    Invité
    Invité(e)
    Par défaut
    En fait j'utilise cette variable pour stocker des caracteres, en faire un md5 et le verifier a un autre md5... Donc je doute que ca puisse vraiment agir dessus, mais je prefere avoir confirmation
    Pour les affichages web et stockage dans une BDD, oui oui j'avais bien marque que ca ne rentrait pas en compte

  6. #6
    Membre actif

    Profil pro
    Inscrit en
    Juin 2005
    Messages
    171
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : Juin 2005
    Messages : 171
    Points : 218
    Points
    218
    Par défaut
    Sous réserve que la fonction md5 ne contienne pas de faille, je ne pense pas qu'il y ai réellement besoin de vérifier ce que tu reçois vu que les entrée utilisateurs sont typés comme des 'string' (chaine de caractères hein ! ) pour php.

    Cependant, moi qu'en j'ai le moindre un doute, je vérifie ... !

Discussions similaires

  1. Réponses: 2
    Dernier message: 13/04/2012, 11h35
  2. insérer des variables dans une table en php
    Par sajodia dans le forum PHP & Base de données
    Réponses: 1
    Dernier message: 30/01/2009, 18h36
  3. Réponses: 5
    Dernier message: 21/10/2005, 12h48
  4. [AS2] déclarer des variables dans une fonction
    Par ooyeah dans le forum ActionScript 1 & ActionScript 2
    Réponses: 12
    Dernier message: 02/08/2005, 13h50
  5. [Sécurité]Gestion des accès dans plusieurs bases
    Par vincentj dans le forum Débuter
    Réponses: 1
    Dernier message: 05/01/2005, 15h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo