[Sécurité] Sécuriser les GET dans un formulaire [Fait]

s-c-a-r-a · 28/09/2007, 23h51

Salut,

J'utilise un formulaire avec la méthode GET et je me demandais ce qu'il ne fallait surtout pas oublier pour sécuriser l'inscription des données et l'affichage des résultats. J'ai déja un parcouru les forums mais je n'ai pas envie de prendre de risques...

Merci d'avance!

sharrascript · 28/09/2007, 23h57

bonsoir,

Tout dépend des donnés qui transitent par le get.
Dans un premier temps, pour sécurisé un peu plus ("j'ai bien dit un peu") le mieux est de passer par la méthode post.

Sont-elles destinées à une base de données??

++

N1bus · 28/09/2007, 23h58

Bonjour,

En général on utilise la méthode POST dans les formulaires et GET dans les URLs.

s-c-a-r-a · 29/09/2007, 00h06

Le problème c'est qu'avec mon formulaire en POST, je ne parviens pas à récupérer mes variables de pages en pages, donc j'ai opté pour le GET avec lequel je récupère tout via l'URL. Mais... c'est vraiment moins bien que POST ?

N1bus · 29/09/2007, 00h12

Sans doute parce qu'en POST tu récupères tes variables directement, or il faut utiliser la superglobale $_POST :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_POST['le_nom_ta_variable'];

Encore un article à lire ici

s-c-a-r-a · 29/09/2007, 00h17

Ok merci bien je vais aller lire ça, juste une question : j'ai lu que les superglobales n'étaient pas forcément activées dans le php et qu'elles posaient parfois des problèmes de sécurité c'est vrai ?

N1bus · 29/09/2007, 00h25

$_POST, $_GET, $_FILE et de nombreuses autres sont présentes depuis PHP version 4.1.0

Pour la sécurité, la directive register_globals devrait être à OFF (c'est à OFF par défaut depuis PHP 4.2.0 ) et tu devrais donc utiliser les superglobales ci-dessus.

Voir dans la DOC PHP -> Variables prédéfinies

sharrascript · 29/09/2007, 09h56

bonjour,

D'ailleurs un petit conseil si tu as ton register_globals à ON, n'appels jamais des variables de type différent du même nom.

exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$_POST['var'];
$var;
$_SESSION['var'];

Ces trois variables seront les mêmes, donc bien faire attention, on peu avoir de mauvaises surprises parfois. C'est notamment pour cette raison qu'il a été mis à OFF.

++

vg33 · 29/09/2007, 10h27

De toute façon, quelle que soit la méthode utilisée pour récupérer des infos utilisateur (POST, GET, COOKIES...), il faut considérer qu'elles sont potentiellement corrompues et dangereuses. La méthode ne change rien à l'affaire : tu peux pirater un POST (presque) aussi facilement qu'un GET.
A faire donc : contrôler systématiquement toute donnée utilisateur (présence, format, taille, caractères...). Toujours échapper les valeurs avant enregistrement en bdd pour éviter l'injection SQL (par exemple avec mysql_real_escape_string() pour mysql). Toujours échapper les valeurs avant affichage, notamment pour réafficher le contenu d'un formulaire, par exemple après erreur (avec htmlentities() par exemple).

Dernière chose : les sessions sont à mon avis beaucoup plus efficaces pour un formulaire de plusieurs pages. En effet, tu n'as pas besoin avec elles de valider l'ensemble des données à chaque page, mais uniquement celles qui viennent d'être postées.

28/09/2007, 23h51	#1
s-c-a-r-a Invité régulier Inscription : août 2007 Messages : 41 Détails du profil Informations forums : Inscription : août 2007 Messages : 41 Points : 6 Points : 6	[Sécurité] Sécuriser les GET dans un formulaire Salut, J'utilise un formulaire avec la méthode GET et je me demandais ce qu'il ne fallait surtout pas oublier pour sécuriser l'inscription des données et l'affichage des résultats. J'ai déja un parcouru les forums mais je n'ai pas envie de prendre de risques... Merci d'avance!
	00

28/09/2007, 23h57	#2
sharrascript Membre émérite Franck Développeur Web indépendant Inscription : avril 2007 Messages : 678 Détails du profil Informations personnelles : Nom : Franck Âge : 31 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Développeur Web indépendant Informations forums : Inscription : avril 2007 Messages : 678 Points : 900 Points : 900	bonsoir, Tout dépend des donnés qui transitent par le get. Dans un premier temps, pour sécurisé un peu plus ("j'ai bien dit un peu") le mieux est de passer par la méthode post. Sont-elles destinées à une base de données?? ++ __________________ LudiKreation Pour un web ludique et son Blog \| CapRumbo pour un peu d'évasion \| ChaOdisiaque Club Passion Rôliste \|SierrElben le Jeu de rôle
	00

28/09/2007, 23h58	#3
N1bus Rédacteur/Modérateur Inscription : janvier 2003 Messages : 2 018 Détails du profil Informations personnelles : Âge : 47 Localisation : France, Charente Maritime (Poitou Charente) Informations forums : Inscription : janvier 2003 Messages : 2 018 Points : 1 992 Points : 1 992	Bonjour, En général on utilise la méthode POST dans les formulaires et GET dans les URLs. __________________ N1bus Modérateur Web / PHP Aucune demande technique ne sera traitée par MP . Merci PHP/GD : Génération d'un code-barre Code 39 FCKEditor : Modifier la largeur des listes déroulantes PHP/e-Commerce : Installation d'une solution de paiement en ligne SIPS-ATOS
	00

29/09/2007, 00h25	#7
N1bus Rédacteur/Modérateur Inscription : janvier 2003 Messages : 2 018 Détails du profil Informations personnelles : Âge : 47 Localisation : France, Charente Maritime (Poitou Charente) Informations forums : Inscription : janvier 2003 Messages : 2 018 Points : 1 992 Points : 1 992	$_POST, $_GET, $_FILE et de nombreuses autres sont présentes depuis PHP version 4.1.0 Pour la sécurité, la directive register_globals devrait être à OFF (c'est à OFF par défaut depuis PHP 4.2.0 ) et tu devrais donc utiliser les superglobales ci-dessus. Voir dans la DOC PHP -> Variables prédéfinies __________________ N1bus Modérateur Web / PHP Aucune demande technique ne sera traitée par MP . Merci PHP/GD : Génération d'un code-barre Code 39 FCKEditor : Modifier la largeur des listes déroulantes PHP/e-Commerce : Installation d'une solution de paiement en ligne SIPS-ATOS
	00

29/09/2007, 00h06	#4
s-c-a-r-a Invité régulier Inscription : août 2007 Messages : 41 Détails du profil Informations forums : Inscription : août 2007 Messages : 41 Points : 6 Points : 6	Le problème c'est qu'avec mon formulaire en POST, je ne parviens pas à récupérer mes variables de pages en pages, donc j'ai opté pour le GET avec lequel je récupère tout via l'URL. Mais... c'est vraiment moins bien que POST ?
	00

29/09/2007, 00h17	#6
s-c-a-r-a Invité régulier Inscription : août 2007 Messages : 41 Détails du profil Informations forums : Inscription : août 2007 Messages : 41 Points : 6 Points : 6	Ok merci bien je vais aller lire ça, juste une question : j'ai lu que les superglobales n'étaient pas forcément activées dans le php et qu'elles posaient parfois des problèmes de sécurité c'est vrai ?
	00

29/09/2007, 10h27	#9
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	De toute façon, quelle que soit la méthode utilisée pour récupérer des infos utilisateur (POST, GET, COOKIES...), il faut considérer qu'elles sont potentiellement corrompues et dangereuses. La méthode ne change rien à l'affaire : tu peux pirater un POST (presque) aussi facilement qu'un GET. A faire donc : contrôler systématiquement toute donnée utilisateur (présence, format, taille, caractères...). Toujours échapper les valeurs avant enregistrement en bdd pour éviter l'injection SQL (par exemple avec mysql_real_escape_string() pour mysql). Toujours échapper les valeurs avant affichage, notamment pour réafficher le contenu d'un formulaire, par exemple après erreur (avec htmlentities() par exemple). Dernière chose : les sessions sont à mon avis beaucoup plus efficaces pour un formulaire de plusieurs pages. En effet, tu n'as pas besoin avec elles de valider l'ensemble des données à chaque page, mais uniquement celles qui viennent d'être postées.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email