Discussion :

[seb-65]

Bonjour,

Voici la fonction qui me permet de tester/nettoyer les données qui circule en POST...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
function check_post($string) {
 
	// Récupère une variable externe et la filtre
	// Supprime les balises, et supprime ou encode les caractères spéciaux.
	$string = filter_input(INPUT_POST, 'test', FILTER_SANITIZE_STRING); 
 
	// Convertit tous les caractères éligibles en entités HTML
	// Supprime les balises HTML et PHP d'une chaîne
	$string = htmlentities(strip_tags($string));
 
	// Protection contre les injections MYSQL
	// Protège une commande SQL de la présence de caractères spéciaux
	$string = mysql_real_escape_string($string);
	// Ajoute des slash dans une chaîne si % et _ existe
	$string = addcslashes($string, '%_');
 
	return $string;
}

Quand pensez-vous ??

Est-ce que j'ai oublié quelque chose, ou peut on encore sécuriser un peux plus les données $_POST ??

Merci pour vos conseils et corrections

[Gugelhupf]

Salut,

En toute franchise, cela part d'une bonne idée pour protéger les données reçu par l'utilisateur... mais cela s'appelle tout simplement réinventer la roue (et pire encore dans la manière dont tu procèdes représente des pertes en perf, mais je vais te décrire ce qui ne va pas ).

Dans un premier temps tu te sers de la fonction htmlentities(), tous les caractères pouvant être transformés en HTML le seront, alors que htmlspecialchars() te permet d'éviter les caractères éligibles représentants un danger (ce qui est mieux).

Dans un deuxième temps, toujours avec la même fonction, tu t'apprêtes à stocker une chaine transformée, avec un poids plus élevé dans ta BDD, en faite tu te sers de cette fonction au mauvais moment, elle ne devrait pas se trouver dans ta fonction.

mysql_real_escape_string() :
quel horreur cette fonction, tu peux t'en passer si tu utilises mysqli ou PDO.

addslashes() :

Bon après je ne vais pas aller plus loin dans le raisonnement, parce que je pense que tu dois déjà bien comprendre ces différents points.

[seb-65]

Bon après je ne vais pas aller plus loin dans le raisonnement, parce que je pense que tu dois déjà bien comprendre ces différents points.

En fait pas trop non


mysql_real_escape_string() :
Je vais passer sous une base SQLITE donc je vais maintenant utiliser sqlite_escape_string()Concernant le addslashes() :

J'échappe le %, qui permet d'éviter d'avoir une injection MySQL; ainsi les injections du type "n'importe quelle chaine qui commence par t" (t%) sont ignorées

[grunk]

Faire une fonction générique de sécurisation est compliqué.
Pour bien faire :

1- Filtre tes données : vérifier que le type de données reçue correspond à ce que tu attends (is_int(), filter_input() ... )

2- Insertion via requête préparée. Utilise PDO et pas les API vieillissantes. Utilise les requêtes préparées pour insérer les données pour te protéger des injections

3- Protège l'utilisateur en sortie en filtrant l'affichage via htmlentities/htmlspecialchars.

[seb-65]

Bonjour,

As tu un exemple de script à me fournir pour le point 1 et le 3 stp ?

[grunk]

1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$age = intval($_POST['age']
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL); // false email invalid , null email vide
 
if($age && $email)
{
   //insertion
}

3

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<div> Email : <?=htmlentities($email);?> </div>

Pour faire simple dans ta base de données tu vas stocker des données brutes mais vérifiées et au moment de l'affichage tu les protège pour éviter les faille xss.