Discussion :

[bndd24]

Bonjour,

Je viens vers vous pour savoir si ma page est bien sécurisée ou pas, car j'ai quelques doutes.. par exemple a la ligne 7 et 8 je sécurise la variable GET (id_block) qu'une fois le isset passé.. est-ce un danger ?
J'ai bien essayé de mettre la ligne 7 $id_block = (int) $_GET['id_block']; tout en haut de la page mais la j'ai une erreur

Notice: Undefined index: id_block ......

logique car la variable est déclarée qu'une fois que l'utilisateur clique sur le lien de déblocage en bas.. mais dés qu'il arrive sur la page, pas de variable GET.. donc du coup j'ai inséré la ligne pour sécuriser la variable GET juste après le isset comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php
logged_only();
 
$user_id = $_SESSION['auth']->id; // Récupère l'id du membre connecté.
 
// Débloquer un membre
if (isset($_GET["id_block"])){
  $id_block = (int) $_GET['id_block']; // Sécurise la variable id_block passée par l'url.
  $pdo->exec("DELETE FROM blocage_users WHERE id=$id_block AND idmbr=$user_id");
  $_SESSION['flash']['success'] = 'Le membre vient d\'être <b>débloqué</b>. Il peut à nouveau vous envoyer des messages.';
}
 
?>
 
<h3>Membres bloqués</h3>
 
<?php
$reponse = $pdo->query('SELECT
b.id as id_block,
b.date_blocage as date_block,
u.prenom as prenom_block,
u.date_naissance as date_naissance_block,
u.city as city_block
FROM users u
INNER JOIN blocage_users b
ON b.idmbr_blocage = u.id
WHERE b.idmbr = '.$user_id);
 
while ($donnees = $reponse->fetch())
{
?>
 
- <?php echo $donnees->prenom_block; ?>, <?php echo age($donnees->date_naissance_block); ?>ans de <?php echo $donnees->city_block; ?> - <?php echo $donnees->date_block; ?> (<a href="index.php?p=complete&id_block=<?php echo $donnees->id_block; ?>">Débloquer</a>)<br>
 
<?php } ?>

MERCI pour votre aide

[sabotage]

Non il n'y a pas de problème de logique dans la position de ton isset().

Dans ce que tu nous montres, il n'y a pas de trou de sécurité :
- la page est visiblement limitée aux utilisateurs connectés
- la requête est limitée aux blocages de l'utilisateur connecté
- les paramètres dans la requêtes sont surs

[bndd24]

Merci pour ta réponse rapide.
Donc inutile de faire une requête préparée pour le delete ?

Sinon dernière petite question en bonus^^ : comment faire (le plus simplement possible) pour que le titre h3 s'affiche uniquement si la requête sort un résultat ? Car la même en cas de zéro blocage il y a le titre.. Pas très pro^^

[zigomato]

Je ne sais pas quel est le type de ta variable id_block, mais si tu recherches un maximum de sécurité pourquoi ne pas faire une preg_match sur ta variable id_block, il me semble qu'il ne peut s'agir que d'un nombre entier donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if (isset($_GET["id_block"]) AND preg_match('#[0-9]+#',$_GET["id_block"])){
     //pourquoi mettre ta variable GET dans une autre variable
     $pdo->exec("DELETE FROM blocage_users WHERE id=$_GET["id_block"] AND idmbr=$user_id");
}

La solution proposé avant fonctionne déjà bien, mais je sais que j'utilise beaucoup cet méthode car tu peux restreindre fortement toutes les saisies de l'utilisateurs

Qu'entends par pas de résultat ? sur ta requête delete ou sur ta condition ?
Car si tu veux savoir si il y a bien eu une ou des lignes de supprimer tu peux faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$pdo->exec("DELETE FROM blocage_users WHERE id=$_GET["id_block"] AND idmbr=$user_id");
$count = $pdo->rowcount();
if($count>=1){
    //affichage de ton titre h3
}

[bndd24]

Je ne sais pas quel est le type de ta variable id_block, mais si tu recherches un maximum de sécurité pourquoi ne pas faire une preg_match sur ta variable id_block, il me semble qu'il ne peut s'agir que d'un nombre entier.
La solution proposé avant fonctionne déjà bien, mais je sais que j'utilise beaucoup cet méthode car tu peux restreindre fortement toutes les saisies de l'utilisateurs

Je ne vois pas trop l'utilité d'utiliser un preg_match alors que mon code est sécurisé grâce a la ligne 8 (int).. mais merci pour ta solution.

Qu'entends par pas de résultat ? sur ta requête delete ou sur ta condition ?

non, pas dans le delete, dans le select en bas.. SI 1 résultat ou plus.. alors j'affiche le sous-titre h3.. sinon aucune utilité. Je viens de voir la doc php, le rowCount() fonctionne uniquement pour les DELETE, INSERT, ou UPDATE, PAS pour le Select. Sinon il faut utiliser un fetchColumn() ... doc http://php.net/manual/fr/pdostatement.rowcount.php

[grunk]

mais si tu recherches un maximum de sécurité pourquoi ne pas faire une preg_match sur ta variable id_block,

Justement si il n'attends qu'un entier utiliser un preg_match , c'est inutile et surdimensionné.

Un cast en int ou un intval() sont plus efficace et plus lisible.

Le preg_match n'a d'intérêt que sur des masques de saisie complexes.

[Celira]

Autre possibilité : utiliser la fonction filter_​input, qui valide et nettoie (et gère le isset)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
logged_only();
 
$user_id = $_SESSION['auth']->id; // Récupère l'id du membre connecté.
 
// Débloquer un membre
$id_block = filtre_input(INPUT_GET, 'id_block', FILTER_VALIDATE_INT); // valide et Sécurise la variable id_block passée par l'url.
if ($id_block !== false && $id_block !== null){
  $pdo->exec("DELETE FROM blocage_users WHERE id=$id_block AND idmbr=$user_id");
  $_SESSION['flash']['success'] = 'Le membre vient d\'être <b>débloqué</b>. Il peut à nouveau vous envoyer des messages.';
}

A lire sur le sujet : http://jcrozier.developpez.com/tutor...tres-securite/

[bndd24]

merci pour le lien celira.

[ABCIWEB]

Comme le dit grunk, le preg_match est gourmand en ressources, beaucoup plus que les fonctions natives. Il suffit de faire quelques bench pour s'en rendre compte. Il ne faut donc l'utiliser qu'en dernier recours, quand on ne peut pas faire autrement.

Faut que tout le monde s'y mette si on ne veut pas dépasser les 2 degrés de réchauffement climatique

[bndd24]