Discussion :

[renardchan]

Bonjour,

J'ai mis en œuvre le tutoriel de listes liées. http://siddh.developpez.com/articles/ajax/. Toutefois, je m’interroge quant à la sécurité de ce code.

En effet on passe une variable javascript vers Php (ici idauteur)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function go(){
				var xhr = getXhr();
				// On défini ce qu'on va faire quand on aura la réponse
				xhr.onreadystatechange = function(){
					// On ne fait quelque chose que si on a tout reçu et que le serveur est ok
					if(xhr.readyState == 4 && xhr.status == 200){
						leselect = xhr.responseText;
						// On se sert de innerHTML pour rajouter les options a la liste
						document.getElementById('livre').innerHTML = leselect;
					}
				}
 
				// Ici on va voir comment faire du post
				xhr.open("POST","ajaxLivre.php",true);
				// ne pas oublier ça pour le post
				xhr.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
				// ne pas oublier de poster les arguments
				// ici, l'id de l'auteur
				sel = document.getElementById('auteur');
				idauteur = sel.options[sel.selectedIndex].value;
				xhr.send("idAuteur="+idauteur);

Ce code est-il sensible à une injection SQL? Suis-je ici obligé de sécuriser les variable envoyées?

Merci.

[Bovino]

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)

[beegees]

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)

Qu'entends-tu par "validé" ?

C'est un sujet important qui m'intéresse beaucoup.

Merci d'avance pour ta réponse.

beegees

[vermine]

Bonjour,

Cela veut dire que l'on va vérifier les données fournies par l'utilisateur afin de voir s'il a bien encodé ce que nous attendions. Par exemple, là où nous demandions son login, il ne faut surtout pas qu'il encode :

Edouard' or 1=1;--

Ce qui correspond à une intrusion malvenue.

De même, si on demande une date de naissance, on ne veut pas recevoir un prénom. Car la base de données attend une date et non un varchar. L'insert va planter.

Donc on va valider le format de chaque données encodées et refuser tout ce qui ne ressemble pas à ce que l'on désire.