Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] Est-il nécessaire de filtrer les variables de session ?
bonjour,
Je me demande s'il est utile de filtrer les variables de session. Par exemple :
C'est valable ou inutile selon vous ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part $_SESSION[id]=mysql_real_escape_string(htmlspecialchars($_SESSION[id]))
Salut
Avant toute chose, il convient de rappeler que les fonctions htmlentities() et htmlspecialchars() ne devraient pas être appliqués systématiquement avant d'insérer des chaînes dans une BDD mais après.
Ensuite, concernant ta question, tout dépend de ta politique.
Si tu filtres les données avant de les mettre dans la session, tu n'as plus besoin de le faire par la suite.
Tout dépend...
D'un certain point de vue, l'utilisateur n'a aucun contrôle sur tes sessions. D'un autre, si ton code n'est pas parfait, l'utilisateur peut avoir un certain contrôle sur les sessions...
La meilleure solution est d'adopter une technique imparable comme, par exemple, le poka-yoké suggéré par macbook il y a quelque temps.
Mes articles - Zend Certified Engineer (PHP + Zend Framework)
Ressources PHP - Ressources Zend Framework - Cours et tutoriels pour apprendre PHP - Forum PHP
Merci pour ta réponse,
Oui je filtre avant, mais justement, j'ai pensé à cela : une personne pirate une session en la sniffant : de là elle doit pouvoir balancer une variable de session trafiquée dans la base.Ensuite, concernant ta question, tout dépend de ta politique.
Si tu filtres les données avant de les mettre dans la session, tu n'as plus besoin de le faire par la suite.
Donc ne vaut-il pas mieux la filtrer tout de même, si elle est utilisée pour une requête sql ? Et si oui, la syntaxe que j'ai écrit plus haut est-elle correcte ?
Si tu peux en dire plus...D'un certain point de vue, l'utilisateur n'a aucun contrôle sur tes sessions. D'un autre, si ton code n'est pas parfait, l'utilisateur peut avoir un certain contrôle sur les sessions...
J'ignore ce qu'est ce poka-yoké.La meilleure solution est d'adopter une technique imparable comme, par exemple, le poka-yoké suggéré par macbook il y a quelque temps.
Si ton gars arrive à sniffer une session, il est bigrement fort (ou ton site a de vraies vraies failles), puisqu'il me semble que tout se passe en local pour les sessions. Rien ne transite par le réseau, ce ne sont pas des cookies. C'est tout depuis la RAM jusqu'à la RAM du serveur. Si ton gars arrive à s'introduire dans ta session, alors je pense qu'il est déjà trop tard pour toi. Plus la peine de filtrer quoi que ce soit : le pirate a déjà fait ce qu'il voulait.Envoyé par psychoBob
Non, je l'ai dit plus haut, tu ne devrais pas utiliser htmlcspecialchars() car ce n'est pas une fonction de filtrage mais d'affichage.
En outre, il est préférable de traiter les valeurs numériques en tant que telles plutôt que de leur appliquer mysql_real_escape_string() car, comme son nom l'indique, cette fonction est à destination des chaînes de caractères
Filtrage imparfait ==> possibilité d'intrusion ==> tu peux avoir très mal.
Je t'ai donné tous les mots clefs pour trouver de quoi il s'agit, soit ici soit ailleurs.
Pour terminer, je rappelle que ce sujet a été traité je ne sais combien de fois et qu'il y a plusieurs pages de réponses très intéressantes dans le sujet sur la sécurité.
Mes articles - Zend Certified Engineer (PHP + Zend Framework)
Ressources PHP - Ressources Zend Framework - Cours et tutoriels pour apprendre PHP - Forum PHP
Répondre avec citation
Partager