[Sécurité] Quelles fonctions utiliser et dans quel cas ?

Florian.L · 18/01/2008, 23h15

comme je savais pas ou poser (ça touche plusieurs sous-forums) je poste ici...

A force de lire plein de cours/tuto/script, je voit plein de fonction censé sécurisé le code.

et donc j'en suis rendu au point ou je ne sait plus quoi utiliser? dans quelle situation? de quoi cela protège t-il?

j'ai pas trouver de tuto expliquant tout ça, je trouve que ça pourrais être une bonne idée pourtant...

Exemple:

-aprés avoir reçu une donnée passé par un formulaire:
htmlspecialchars () pour rendre inoffensif les balises HTML > protection contre injection HTML

htmlentities() > se protéger de la faille xss??

-pour par exemple un champ d'identification:
mysql_real_escape_string() > injection sql

-pour eviter d'avoir des bugs SQL
addslashes > ajout de "\"

a utiliser avec:
stripslashes > retirer les "\"

mais ceci est à utiliser si les magic_quotes sont désactivés

et il doit exister d'autres trucs...

bref, j'aimerais bien avoir un listing (un aide mémoire) pour savoir quoi utiliser, dans quel situation et pourquoi.

merci

herve42 · 21/01/2008, 22h40

Bonjour

pour mon cas je procéde ainsi (j'ai lu beaucoup de littérature à ce sujet et il y en tellement que je me suis perdu alors j'ai pris une décision qui vaut ce qu'elle vaut)

aprés qu'une zone soit saisie dans un formulaire, je :

test la variable magic_quote d'apache en php

si elle est a on : j'enleves les antislashes car pollue la BDD
je supprimer les eventuels caractères html via une fonction php
et j'enregistre la donnée.

pour les injections sql je n'ai pas a gérer ce pb car la couche d'abstraction pear que j'utilise s'en charge.

ci-dessous la fonction utilisée si cela peut t"interesser a+

function encode_donnee($string) {

$string_modifie = $string;
if (get_magic_quotes_gpc())
{
$string_modifie = stripslashes($string);
}
$string_modifie = strip_tags($string_modifie);
return($string_modifie);
}

18/01/2008, 23h15	#1
Florian.L Membre régulier Florian Lemaire Développeur .NET Inscription : mars 2003 Messages : 82 Détails du profil Informations personnelles : Nom : Florian Lemaire Âge : 24 Localisation : Canada Informations professionnelles : Activité : Développeur .NET Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mars 2003 Messages : 82 Points : 73 Points : 73	[Sécurité] Quelles fonctions utiliser et dans quel cas ? comme je savais pas ou poser (ça touche plusieurs sous-forums) je poste ici... A force de lire plein de cours/tuto/script, je voit plein de fonction censé sécurisé le code. et donc j'en suis rendu au point ou je ne sait plus quoi utiliser? dans quelle situation? de quoi cela protège t-il? j'ai pas trouver de tuto expliquant tout ça, je trouve que ça pourrais être une bonne idée pourtant... Exemple: -aprés avoir reçu une donnée passé par un formulaire: htmlspecialchars () pour rendre inoffensif les balises HTML > protection contre injection HTML htmlentities() > se protéger de la faille xss?? -pour par exemple un champ d'identification: mysql_real_escape_string() > injection sql -pour eviter d'avoir des bugs SQL addslashes > ajout de "\" a utiliser avec: stripslashes > retirer les "\" mais ceci est à utiliser si les magic_quotes sont désactivés et il doit exister d'autres trucs... bref, j'aimerais bien avoir un listing (un aide mémoire) pour savoir quoi utiliser, dans quel situation et pourquoi. merci
	00

21/01/2008, 22h40	#2
herve42 Candidat au titre de Membre du Club Inscription : décembre 2006 Messages : 22 Détails du profil Informations forums : Inscription : décembre 2006 Messages : 22 Points : 10 Points : 10	re Bonjour pour mon cas je procéde ainsi (j'ai lu beaucoup de littérature à ce sujet et il y en tellement que je me suis perdu alors j'ai pris une décision qui vaut ce qu'elle vaut) aprés qu'une zone soit saisie dans un formulaire, je : test la variable magic_quote d'apache en php si elle est a on : j'enleves les antislashes car pollue la BDD je supprimer les eventuels caractères html via une fonction php et j'enregistre la donnée. pour les injections sql je n'ai pas a gérer ce pb car la couche d'abstraction pear que j'utilise s'en charge. ci-dessous la fonction utilisée si cela peut t"interesser a+ function encode_donnee($string) { $string_modifie = $string; if (get_magic_quotes_gpc()) { $string_modifie = stripslashes($string); } $string_modifie = strip_tags($string_modifie); return($string_modifie); }
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email