[Sécurité] Interpretation des variables dans PHP

NaeiKinDus · 18/06/2007, 15h16

Bonjour a tous !

J'avais une petite question qui peut paraitre stupide, mais me laisse songeur...
Supposons que j'autorise un utilisateur a entrer des informations, et que je les stock dans une variable, $dummy par exemple... De plus, je n'effectue aucun controle sur la saisie du client. Y'a t'il un risque de securite ? L'utilisateur peut il entrer des valeurs inhabituelles pour faire faire au code ce qu'il veut ?
Un peu comme le principe des injections SQL, version php.
Je precise que cette variable php ne sert qu'a effectuer un traitement quelconque, pas de stockage dans une base de donnees ou d'affichage sur une page web.
Je suis presque sur que c'est impossible, mais comme c'est du "presque sur"...

Merci d'avance

mathieu · 18/06/2007, 15h23

ça dépend ce que tu fais avec cette variable
si par exemple tu l'affiches dans du code html, le visiteur pourra mettre ce qu'il veut dans ta page html, du code Javascript, plein de code html
si tu utilises cette variable dans une requête SQL, le visiteur pourra exécuter ce qu'il veut comme requête, lire toute la base ou même supprimer des tables

Wharenn · 18/06/2007, 15h23

D'une façon générale, il ne faut jamais faire confiance aux informations transmises par un utilisateur. Ne pas faire de contrôle c'est jouer avec le feu et avoir une épée de damocles au dessus de la tête. Laisser faire ce qu'il veut à un utilisateur n'est pas anodin.

Après ca dépend de la portée de ta variable... mais bon...

aurelman · 18/06/2007, 15h34

Bonjour,

Même si tu n'affiches pas la variable dans du HTML, même si tu ne la stockes pas dans une base de donnée, il y a potentiellement danger.

Cela dépend des traitements et calculs que tu fais avec ta variable.

Exemple : la fonction php eval.

NaeiKinDus · 18/06/2007, 16h11

En fait j'utilise cette variable pour stocker des caracteres, en faire un md5 et le verifier a un autre md5... Donc je doute que ca puisse vraiment agir dessus, mais je prefere avoir confirmation

Pour les affichages web et stockage dans une BDD, oui oui j'avais bien marque que ca ne rentrait pas en compte

aurelman · 18/06/2007, 16h27

Sous réserve que la fonction md5 ne contienne pas de faille, je ne pense pas qu'il y ai réellement besoin de vérifier ce que tu reçois vu que les entrée utilisateurs sont typés comme des 'string' (chaine de caractères hein !

) pour php.

Cependant, moi qu'en j'ai le moindre un doute, je vérifie ... !

18/06/2007, 15h16	#1
NaeiKinDus Membre actif Florian Chef de projet NTIC Inscription : novembre 2004 Messages : 205 Détails du profil Informations personnelles : Nom : Florian Âge : 26 Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Chef de projet NTIC Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2004 Messages : 205 Points : 159 Points : 159	[Sécurité] Interpretation des variables dans PHP Bonjour a tous ! J'avais une petite question qui peut paraitre stupide, mais me laisse songeur... Supposons que j'autorise un utilisateur a entrer des informations, et que je les stock dans une variable, $dummy par exemple... De plus, je n'effectue aucun controle sur la saisie du client. Y'a t'il un risque de securite ? L'utilisateur peut il entrer des valeurs inhabituelles pour faire faire au code ce qu'il veut ? Un peu comme le principe des injections SQL, version php. Je precise que cette variable php ne sert qu'a effectuer un traitement quelconque, pas de stockage dans une base de donnees ou d'affichage sur une page web. Je suis presque sur que c'est impossible, mais comme c'est du "presque sur"... Merci d'avance
	00

18/06/2007, 15h23	#2
mathieu Modérateur Inscription : juin 2003 Messages : 4 893 Détails du profil Informations forums : Inscription : juin 2003 Messages : 4 893 Points : 4 466 Points : 4 466	ça dépend ce que tu fais avec cette variable si par exemple tu l'affiches dans du code html, le visiteur pourra mettre ce qu'il veut dans ta page html, du code Javascript, plein de code html si tu utilises cette variable dans une requête SQL, le visiteur pourra exécuter ce qu'il veut comme requête, lire toute la base ou même supprimer des tables __________________ Modérateur PHP
	00

18/06/2007, 15h23	#3
Wharenn Membre régulier Étudiant Inscription : juin 2006 Messages : 83 Détails du profil Informations personnelles : Âge : 25 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2006 Messages : 83 Points : 84 Points : 84	D'une façon générale, il ne faut jamais faire confiance aux informations transmises par un utilisateur. Ne pas faire de contrôle c'est jouer avec le feu et avoir une épée de damocles au dessus de la tête. Laisser faire ce qu'il veut à un utilisateur n'est pas anodin. Après ca dépend de la portée de ta variable... mais bon...
	00

18/06/2007, 15h34	#4
aurelman Membre confirmé Inscription : juin 2005 Messages : 171 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : juin 2005 Messages : 171 Points : 214 Points : 214	Bonjour, Même si tu n'affiches pas la variable dans du HTML, même si tu ne la stockes pas dans une base de donnée, il y a potentiellement danger. Cela dépend des traitements et calculs que tu fais avec ta variable. Exemple : la fonction php eval.
	00

18/06/2007, 16h11	#5
NaeiKinDus Membre actif Florian Chef de projet NTIC Inscription : novembre 2004 Messages : 205 Détails du profil Informations personnelles : Nom : Florian Âge : 26 Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Chef de projet NTIC Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2004 Messages : 205 Points : 159 Points : 159	En fait j'utilise cette variable pour stocker des caracteres, en faire un md5 et le verifier a un autre md5... Donc je doute que ca puisse vraiment agir dessus, mais je prefere avoir confirmation Pour les affichages web et stockage dans une BDD, oui oui j'avais bien marque que ca ne rentrait pas en compte
	00

18/06/2007, 16h27	#6
aurelman Membre confirmé Inscription : juin 2005 Messages : 171 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : juin 2005 Messages : 171 Points : 214 Points : 214	Sous réserve que la fonction md5 ne contienne pas de faille, je ne pense pas qu'il y ai réellement besoin de vérifier ce que tu reçois vu que les entrée utilisateurs sont typés comme des 'string' (chaine de caractères hein ! ) pour php. Cependant, moi qu'en j'ai le moindre un doute, je vérifie ... !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email