Discussion :

[lulz17]

Salut à tous,

J'ai remarqué sur plusieurs sites que leur formulaire de recherche (par exemple) n’interprétait pas l'input de l'utilisateur bien qu'il soit affiché sur la page suivante.

Exemple:
Je suis sur monsite.com/recherche.php et vu que je suis un petit malin je vais rajouter dans l'input :"<H1>lol</H1>" je valide ma recherche.
J'arrive donc sur monsite.com/resultat.php et la page m'affiche: Votre recherche est: "<H1>lol</H1>" sans interpréter l'injection.

Quelle technique/filtre est utilisée pour empêcher cette interprétation?

Merci d'avance

[cavo789]

Bonjour

... et vu que je suis un petit malin...

mais moins que les webmasters en question

En fait, c'est simple : tout qui est introduit par un utilisateur doit être "échappé". La fonction htmlentities le fait (http://php.net/manual/fr/function.htmlentities.php) mais bien d'autres aussi.

Ici, le truc est donc de remplacer < par &lt; et > par &gt;. Ensuite, c'est cette chaîne-là qu'on recherche et qu'on affiche.

Bonne journée.

[lulz17]

mais moins que les webmasters en question

Effectivement

La je suis d'accord, la fonction htmlentities devrait remplacer le < par &lt; dans le code source et à l'affichage dans le navigateur sortir "<".

Mais normalement dans le code source de la page, je suis censé voir le &lt; et non le <. Pourtant j'ai bien vu le "<" dans le code source ... C'est ça qui m'étonne!

[Nicopilami]

Hello

Si le but du webmestre était juste d'éviter les failles du types "injection SQL", le webmaster a probablement mis un "htmlentities" pour convertir les éléments lors de l'insertion dans la base SQL. Néanmoins, vuy ce que tu indiques, il a aussi ensuite utilisé un html-entity-decode pour réafficher les éléments normalement. Cependant si tel est le cas, ce n'est pas la chose à faire, car le code - qui était stocké de façon "safe" - va être réinterprété lorsque la page web sera recréée pour affichage ! (faille potentielle de "Cross site scripting")

Nico

[lulz17]

Salut Nicopilami,

Je me doutais qu'il existait une fonction inverse mais je ne la connaissais pas. Maintenant oui

En faite, je me suis trompé.. La fonction htmlentities est bien présente !!

Mais au lieu de regarder dans le code source où j'aurai dû voir les &lt; etc .. ben je regardai dans l'inspecteur web ... Et donc c'était bien affiché comme des <> etc ..

Petite fatigue qui m'a fait confondre l'inspecteur web avec le code source .. Sa me rassure car je ne comprenais pas comment le site pouvait affiché du code "non safe" sans l’interpréter!

Merci pour vos réponses en tout cas