Discussion :

[Alexandrebox]

Bonjour tout le monde,

J'ai une question qui va certainement faire l'objet d'un débat.
Je suis entrain de créer un site que j'aimerais bien sécuriser. J'ai vu dans un livre qu'il récupère la variable Get de cette façon

Code livre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if (isset($_GET['nom'])) {
  $nom = (get_magic_quotes_gpc()) ? $_GET['nom'] : addslashes($_GET['nom']);
}

alors que presque tout le monde a toujours fait comme ça:

Code de tout le monde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if (isset($_GET['nom'])) {
  $nom = $_GET['nom'];
}

A votre avis, est-ce que c'est utile de faire comme dans le livre?

[SpiritOfDoc]

Code de tout le monde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if (isset($_GET['nom'])) {
  $nom = $_GET['nom'];
}

En vérité, très peu de personne qui cherche à sécuriser leurs sites utilisent cette portion de code.
En effet, il faut au minimum vérifié que, dans ce cas, $_GET['nom'] ne contient QUE des lettres.

De plus ... ces deux fonctions n'ont rien à voir.
La première travail la chaine en ajoutant des slashes soit de manières automatiques, soit avec la fonction addslashes().
Alors que la seconde ne fait juste que définir $nom.

P.s : La plus part du temps on met les magic_quotes à 0.

[Alexandrebox]

Merci beaucoup. Si j'ai bien compris, c'est ce que je dois faire:

Premier cas Je ne suis pas sûr

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
if (isset($_GET['ID'])) {
 
if(!is_numeric($_GET['ID'])){
 die();
echo "Une erreur est survenue";
}
$ID = $_GET['ID'];
 
}

Je me demande si c'est nécessaire de tester encore la variable par isset?
Etant donné que if(!is_numeric($_GET['ID'])) demande déjà si un nombre numérique est envoyé par GET. Dites-moi si je me trompe. Si je devrais obligatoirement faire les deux (isset et !is_numeric)

Deuxième cas. Je ne suis pas sûr non plus

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
 
if(!is_numeric($_GET['ID'])){
 die();
echo "Une erreur est survenue";
}
else{
$ID = $_GET['ID'];
 
}

[haltabush]

En vérité, très peu de personne qui cherche à sécuriser leurs sites utilisent cette portion de code.
En effet, il faut au minimum vérifié que, dans ce cas, $_GET['nom'] ne contient QUE des lettres.

De plus ... ces deux fonctions n'ont rien à voir.
La première travail la chaine en ajoutant des slashes soit de manières automatiques, soit avec la fonction addslashes().
Alors que la seconde ne fait juste que définir $nom.

P.s : La plus part du temps on met les magic_quotes à 0.

Je ne suis pas trop d'accord.
Sur la plupart des hébergeurs (mutualisés notamment), magic_quotes_gpc est à On, bien que j'ai lu quelque part dans ce forum que l'option disparaitra dans PHP6.
On sera alors contraint d'utiliser à chauqe fois addslashes.
L'intérêt du bout de code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $nom = (get_magic_quotes_gpc()) ? $_GET['nom'] : addslashes($_GET['nom']);

est que les slashs de la variables $nom sera correctement échappé quelque soit la configuration du serveur.

[Alexandrebox]

Ok d'accord je comprends.
Mais le fait d'échapper les éventuels noms avec apostrophe ne posera pas de problème à l'affichage?


Je m'explique:
Mon Magic quote est à off. Si je récupère des données d'un formulaire supposons que j'insère directement "aujourd'hui" dans la DB. J'aurai aujourd'ui
alors que si je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$nom = (get_magic_quotes_gpc()) ? $_GET['nom'] : addslashes($_GET['nom']);

J'aurai dans la DB "aujourd\'ui". Après pour retraiter la variable qu'elle s'affiche correctement.

Pk essayer de faire la barre d'échappement?
Si c'est pour éviter que l'internaute envoie directement une commande sql à la base depuis le formulaire. Ce serai pas mieux de faire comme ça ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
if (isset($_GET['nom'])) {
$nom = $_GET['nom'];
 
$sq = "INSERT INTO texte(nom) VALUES('mysql_real_escape_string($_POST['nom'])')";
mysql_query($sq, $idConnex) or die (mysql_error());
}

De cette manière, on a pas des problèmes d'échappement. Mais le code côté DB est sécurisé .
Qu'en penses-tu?

[haltabush]

Effectivement, il est préférable d'utiliser mysql_real_escape_string.
Cependant, il me semble que quand tu mets un addslashes puis que tu envois ta variable à la DB, la variable est correctement enregistrée (sans \). C'est logique puisque celui-ci est interpreté par le SGBD (ex: si tu insert de la manière suivante : "INSERT 'test\'test' INTO ...", tu aura bien test'test d'enregistré)

[Alexandrebox]

Merci pour ta réponse.

Donc le magic quote serait un plus au cas où dans php.ini il serait mis sur on.
Peux-tu me dire si ce code est assez robuste?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
if (isset($_GET['nom'])) {
$nom = $_GET['nom'];
 
$sq = "INSERT INTO texte(nom) VALUES('mysql_real_escape_string($_POST['nom'])')";
mysql_query($sq, $idConnex) or die (mysql_error());
}

Merci pour ta réponse