Discussion :

[Halleck]

Bonjour tout le monde,

j'essaye de faire une fonction pour protéger les injections lors d'une saisie formulaire, mais je galère un peu, je commence à me perdre

J'ai grisé les lignes qui selon moi étaient des doublons, mais je ne suis sûr de rien

J'ai fait beaucoup de copier-coller, des tutos de sécurité de developpez, et aussi de la doc PHP, donc fouillis :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
 
/**
 * protéger une chaine de caractère des injections, SQL OU NON
 * @param string chaine bah la chaine - non null
 * @param string précise s'il s'agit de protéger une chaine en vue d'une insertion dans une base de données : oui : <> null et <> 0; non : nul ou 0
 * @param string corr si différent de null, corrige au lieu de supprimer : oui : <> null et <> 0; non : nul ou 0
 * @return string la chaine protégée / génére l'erreur - fontion alert_erreur()
*/
function str_protege($chaine,$sql=0,$corr=0)
{
    if (is_string(@$chaine) & isset($chaine)) {
 
 
    	$chaine = trim($chaine);
 
			// éviter attaques dos : désactivé
		//$chaine = escapeshellcmd($chaine);
        //$chaine = escapeshellarg($chaine);			
		//$chaine = htmlentities($chaine, ENT_QUOTES, 'ISO-8859-1');
 
 
 
        	// éviter le javascript
        $aAllowedTags = array();
        $aDisabledAttributes = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate',
		 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 
		 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 
		 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 
		 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavaible', 
		 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 
		 'ondrag', 'ondragdrop', 'ondragend', 'ondragenter', 'ondragleave', 
		 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 
		 'onfilterupdate', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 
		 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 
		 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 
		 'onmousemove', 'onmoveout', 'onmouseover', 'onmouseup', 'onmousewheel', 
		 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 
		 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 
		 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 
		 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
        	if (empty($aDisabledAttributes))
			{ 
				$chaine =  strip_tags($chaine, implode('', $aAllowedTags));
			} else {
				$chaine =  preg_replace('/<(.*?)>/ie', "'<' . preg_replace(array('/javascript:[^\"\']*/i', '/(" . implode('|', $aDisabledAttributes) . ")[ \\t\\n]*=[ \\t\\n]*[\"\'][^\"\']*[\"\']/i', '/\s+/'), array('', '', ' '), stripslashes('\\1')) . '>'", strip_tags($chaine, implode('', $aAllowedTags)));
 
			}
 
 
        	// éviter caracs non autorisés en sql, insérer les quotes
		if($sql != 0) { 
			$chaine = strip_tags($chaine);
			$chaine = mysql_real_escape_string($chaine); 
		} else {
 
 
			// désactivé car fait dans le preg_replace
			//if (!get_magic_quotes_gpc()) { $chaine = addslashes($chaine); } 
 
 
			// échapper les cractères php \ + * ? [ ^ ] $ ( ) { } = ! < > | :
			//$chaine = preg_quote($chaine);
 
			if(isset($corr) & @$corr != '' & $corr != 0) 
			{
				$chaine = htmlspecialchars($chaine, ENT_QUOTES, 'ISO-8859-1');
			} else
			{
				$chaine = strip_tags($chaine);
			}
 
 
 
		}
 
 
		// bloquer le script en cas d'attaque
        $chaine = str_replace(';', '&#x3B', $chaine);         
        return $chaine;
 
 
    } else {
 
        alert_erreur('TYPE INCCORECT',__line__,__file__);
 
    }
}

résultat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo str_protege('mot1<mot2mot3<? echo "jjj"; ?>mot4?mot5"mot6\'mot7');

=> mot1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo str_protege('mot1?mot2mot3<? echo "jjj"; ?>mot4?mot5"mot6\'mot7');

=> mot1?mot2mot3mot4?mot5"mot6'mot7

Dans le cas 2, la chaine s'arrête au < . Est-elle tronquée ou bien le code derrière est-il lu et executé?

Dans le cas 2, même question pour "<? echo "jjj"; ?> ?


Pfiouuu ! Dur ! Merci d'avance pour votre aide

[Rakken]

Et si tu te contentais d'écrire un truc du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlentities($str, ENT_QUOTES);

?

[Halleck]

il me manquerait la protection de la base de données + la protection contre les scripts javascript + le choix de remplacer / supprimer les balises contrôlées.

J'étais parti là-dessus au départ mais ça m'a paru trop faible.

[Jorael]

il y a une fonction qui pourrait te permettre de faire ce que tu veux :

strip_tags — Supprime les balises HTML et PHP d'une chaîne:

string strip_tags ( string $str [, string $allowable_tags ] )

Pour la base de données il ne te reste plus qu'à utiliser des requêtes préparés
Aprés il te reste le javascript à supprimer dans les balises autorisés.

[Halleck]

elle est déjà dans le code plus haut

merci de votre aide. Ce qu'il me manque ce n'est pas tant les fonctions qu'une bonne compréhension de leurs effets. Et savoir ce que devient le "<?php echo "jjj"; ?> du code m'aiderait beaucoup je pense, enfin j'espère

[darkstar123456]

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (is_string(@$chaine) & isset($chaine))

Condition incorrecte... tu n'as pas doublé le &

correction:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (is_string(@$chaine) && isset($chaine))

Bon... je continue de lire le code plus loin... ^^


EDIT : Pour le reste, je pense qu'une bonne utilisation de strip_tags() & htmlspecialchars() devrait suffire et alléger ton code

[Rakken]

Et si tu te contentais d'écrire un truc du genre :

Code :
echo htmlentities($str, ENT_QUOTES);

il me manquerait la protection de la base de données + la protection contre les scripts javascript + le choix de remplacer / supprimer les balises contrôlées.

J'étais parti là-dessus au départ mais ça m'a paru trop faible.

Hummm... non.
En fait, ca te transforme tout les caractères un peu vicieux (genre < > ' " é è et autres joyeusetée) en truc du genre &lt; &gt; ...
Donc c'est protégé, et plutot bien en fait. L'avantage, c'est également que si le gars écrit "<coucou>", eh bien a l'écran, on verra bien s'afficher "<coucou>", mais en base, ce qui est stocké est "&lt;coucou&gt;" ce qui est tout a fait sur. Les <? ou <script></script> ne sont donc jamais interprété, puisque le caractère "<" n'arrive jamais en base, il est traduit avant. Et il n'arrive jamais a la page html, c'est &lt; qui est affiché.