Discussion :

[Marc31]

Bonjour,

j'aimerais savoir comment se proteger des failles de se genre (voir ci-dessous)?

https://www.siteweb.fr/accueil.php?values=10

Bonne journée.

[Invité]

Bonjour,

si tu parles de la récupération de "values" dans l'URL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_GET['values']

Il ne faut en effet JAMAIS faire confiance aux données transimes, et par conséquent toujours les contrôler.
D'autant que les données VISIBLES dans l'URL sont TRES facilement modifiables, par n'importe qui.

Après, tout dépend de se que "values" est censé contenir :

• un numérique ? -> intval($_GET['values']) peut faire l'affaire
• une valeur parmi d'autres, bien définie ? -> in_array()...
• ...

quant aux requêtes SQL, on utilisera SYSTEMATIQUEMENT une requête préparée.


N.B. Peux-tu ARRETER de mettre le prefixe "[PHP 4]" à toutes tes discussions ?
Merci.

[Marc31]

Ma valeur value c'est différentes valeurs numériques.

N.B pas de soucis pour le PHP 4, c'est terminé je ne le mettrais plus.

[Marc31]

BOnjour,

Il faut que je le mette où intval($_GET['values'])?
A la page qui envois ou celle qui reçoit???

Bonne journée

[Invité]

Bonjour,

DTC*.


*Dans Ton Code


Plus sérieusement... REFLECHIS 2 secondes...

[Marc31]

Je dirais à la réception mais sans grande conviction....

[Invité]

Bonjour,

la bonne réponse est : quand c'est nécessaire.

[ABCIWEB]

Je dirais à la réception mais sans grande conviction....

Pour la sécurité pure c'est toujours des contrôles à la réception des données. Evidemment puisque les valeurs peuvent être corrompues par l'utilisateur à l'émission des données ou éventuellement durant la transmission des données. A la réception sur le serveur plus personne n'a de possibilité d'intervenir donc à ce moment là tu es certain de pouvoir faire un contrôle que personne ne pourra outre passer par la suite.