Discussion :

[Death83]

Salut a tous,

je suis en train de me demander quelles sont les caractère a interdire lors de la saisi d'un nom d'utilisateur?

(ps:je fait un stiptags avant)

[XtofRoland]

tout depend de ce que tu en fais si tu veux l'afficher ou non.
en générale on le crypt en db.
choisi plutot les caractere que tu utilises.
car si tu tombe sur un utilisateur vicieux ;-)
il peut tjrs utiliser l'ASCII pour rentrer des sigles "bizarre"
£ô♂♪

[Death83]

tout depend de ce que tu en fais si tu veux l'afficher ou non.
en générale on le crypt en db.
choisi plutot les caractere que tu utilises.
car si tu tombe sur un utilisateur vicieux ;-)
il peut tjrs utiliser l'ASCII pour rentrer des sigles "bizarre"
£ô♂♪

A part avoir des caractere bizarre a l'affichage il n'y a pas d'autres risques?

Ca me dérange pas si les utilisateurs utilise des pseudo étrange (tant qu'il ne l'oublie pas ).

[chaced]

tout depend de ce que tu en fais si tu veux l'afficher ou non.
en générale on le crypt en db.
choisi plutot les caractere que tu utilises.
car si tu tombe sur un utilisateur vicieux ;-)
il peut tjrs utiliser l'ASCII pour rentrer des sigles "bizarre"
£ô♂♪

A part avoir des caractere bizarre a l'affichage il n'y a pas d'autres risques?

Ca me dérange pas si les utilisateurs utilise des pseudo étrange (tant qu'il ne l'oublie pas ).

controlle juste l'sql injection et le cross site scripting, apres le login qu'il choisi , tu t'en fou

[Yogui]

Salut

Si tu es concerné par la sécurité, ce n'est pas seulement au niveau du login qu'il faut agir mais à chaque données utilisateur.
En outre, il ne faudrait pas "interdire des chars" mais au contraire "autoriser une liste précise" au moyen de regex.

[XtofRoland]

A part avoir des caractere bizarre a l'affichage il n'y a pas d'autres risques?

Ca me dérange pas si les utilisateurs utilise des pseudo étrange (tant qu'il ne l'oublie pas ).

il existe des caracteres non affichable

[Death83]

Salut

Si tu es concerné par la sécurité, ce n'est pas seulement au niveau du login qu'il faut agir mais à chaque données utilisateur.
En outre, il ne faudrait pas "interdire des chars" mais au contraire "autoriser une liste précise" au moyen de regex.

J'ustement j'utilise les REGEX.

Et je voulais savoir quel sont les caractères a enlevé (pour faire ma liste jsutement ).

Par exemple phpbb autorise la pluspart des caractères. ( ( & ° $ )....
Ce qui est plus sympa pour personnaliser son pseudo.

[Séb.]

Perso en Latin-1 j'autorise tout les caractères imprimables non blancs + l'espace (n° 32 => 126 et 161 => 255)
Bien sûr je prends garde aux injections SQL, et à l'affichage j'utilise htmlspecialchars( ).
Y'a rien de pire que les sites qui refusent les pseudos contenant des é ou des . sans raison valable, en général je n'y remets jamais les pieds.

[Yogui]

Je suis de l'avis de Séb, il n'y a pas vraiment de raison de supprimer des caractères du moment que tu prends garde aux injections, ce qui est réglé avec mysql_real_escape_string().
Si vraiment tu veux brider les cars autorisés, n'utilise pas une classe négative mais plutôt une liste blanche.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if(preg_match('/[^&%$...]*/', $login) // pas bon
if(preg_match('/[a-z][a-z0-9`@|...]*/i', $login) // ok

[macbook]

A part le dièse, quel caractère pourrait poser problème ?

[trattos]

A part le dièse, quel caractère pourrait poser problème ?

Les espaces, les quotes, les doubles quotes, ...

[macbook]

Curieux. Si l'on filtre correctement les données de l'utilisateur comment les quotes et doubles quotes peuvent interférer dans une requête, ou dans un affichage ?

Pour les espaces je suis plus perplexe.

[Death83]

Non les espaces ca marche tres bien. (la preuce sur phpbb on peut se faire des pseudo avec des espaces.

POur ce qui est des ' et des " un addslashes et stipslashes suffit.

Par contre, pour éviter les injection est-ce que stripstags suffit?

[Séb.]

POur ce qui est des ' et des " un addslashes et stipslashes suffit.

?! Pourquoi addslashes( ) ?
Si les magic-quotes sont activées : faire un stripslashes( ) sur les éléments de $_POST
Ensuite pour éviter toute injection SQL et échapper les ' et les " : mysql_real_escape_string( )
Tu ne devrais pas avoir besoin de addslashes( ).

Par contre, pour éviter les injection est-ce que stripstags suffit?

Tu parles des injections HTML ? Si tu fais du striptags( ) ça revient à interdire le caractère < .
Pour éviter d'interdire tout caractère imprimable j'utilise htmlspecialchars( ). => Ex : un user s'appele "<strong>", à l'affichage je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlspecialchars($nickname, ENT_QUOTES) ;

À l'écran : <strong>
Dans la source : &lt;strong&gt;
=> Pas de problème

[Death83]

En gros pour etre serrain il faut faire un mysql_real_escape_string( ) à la saisie et un htmlspecialchars( ) à l'affichage et ca devrait être bon.

C'est bien ca?

[Yogui]

Pour être précis, htmlspecialchars() et htmlentities() ne font pas partie de la sécurité. C'est pour être content que tu les utilises, pour éviter des bugs d'affichage.
Sinon oui, pour être serein, mysql_real_escape_string() suffit. Pas besoin d'interdire des caractères.

[Séb.]

Pour être précis, htmlspecialchars() et htmlentities() ne font pas partie de la sécurité. C'est pour être content que tu les utilises, pour éviter des bugs d'affichage.

Un utilisateur x qui exécute un JavaScript chez un utilisateur y ce n'est pas qu'un bug d'affichage

[Yogui]

Okay, je retire ce que j'ai dit plus haut.
Je ne suis pas un vicieux moi, je ne pense jamais à ces trucs-là...

[XtofRoland]

juste pour vous prendre la tete ;-)

dans le cas ou vous transformez <strong> en &lt;strong&gt;

je choisi le pseudo <<<<<<<<<<<<<<< car le formulaire me permet de rentrer x caracteres

en base de données &lt;&lt;&lt;&lt;&lt;&lt;&lt;&lt;&lt;&lt; soit 4 fois plus de char

c'est une bétise mais bon faut y penser.

[Yogui]

Non, tu n'enregistres pas le htmlspecialchars(), tu l'affiches.