Discussion :

[Gueuz]

Bonjour à tous,

bon je pense qu'on va me dire qu'on retrouve ce sujet ailleurs sur le forum etc... Mais si je met quand même ce post c'est une, pour être sûr de ce que je fais et deux, pour avoir quelques réponses à mes questions.

Car après avoir écumé Forum et bouquin je voudrais être certains d'avoir compris (ou pas).

Donc, j'ai un formulaire qui demande le Nom, Prénom de la personne ainsi que d'autres informations.

J'ai aussi des champs, 'téléphone', 'bureau', etc... Eux je pense que ce n'est pas la peine de les protéger vu qu'avec du Javascript j'ai limité l'entrée uniquement aux chiffres.

Le charset utilisé est UTF-8.

Voici mon code pour le champ prénom :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
$prenom = $_SESSION['prenom'];
$prenom=utf8_decode($prenom);
$prenom=addslashes($prenom);
$prenom=htmlentities($prenom);
$prenom=utf8_encode($prenom);
$prenom=trim($prenom);

Donc, si j'ai bien compris le addslashes, c'est pour protéger les caractères (comme les ') en vue d'être enregistré dans une base de données. Ce qui n'est pas le cas encore mais le sera très prochainement.

htmlentities, pour éviter de prendre en compte les balises HTML.

trim, enlève certains caractères comme les retours chariots.

Par contre je ne comprends pas l'usage des utf8_decode et utf8_encode.
Si je ne met pas ça dans mon code, les caractères accentués ne passent pas.

Voilà, merci de m'orienter, de me confirmer (ou infirmer) ce que j'ai écris et si j'ai oublié quelque chose pour la sécurité, merci aussi de m'en faire part.

Bonne journée.

[sabotage]

Eux je pense que ce n'est pas la peine de les protéger vu qu'avec du Javascript j'ai limité l'entrée

Javascript ne peut servir que comme aide a la saisie mais pas comme protection : un utilisateur qui a desactivé le javascript pourra saisir n'importe quoi dans ton formulaire.

Donc, si j'ai bien compris le addslashes, c'est pour protéger les caractères (comme les ') en vue d'être enregistré dans une base de données.

En fait c'est "en vue d'être inséré dans une requete" pour les problemes d'injection SQL et même tout simplement pour la bonne prise en compte des chaines avec des guillemets lorsqu'on construit une requete en concatenant les elements.

Les informations dans la base de donnée n'ont, en elle même pas besoin d'être echappées.
D'ailleurs dans l'orientation actuelle est d'utiliser les requêtes préparées pour lequel on n'a plus besoin d'échapper les caractères.

htmlentities, pour éviter de prendre en compte les balises HTML.

Effectivement htmlentities empeche que du code html ou javascript soit affiché la ou il ne devrait pas.

Par contre je ne comprends pas l'usage des utf8_decode et utf8_encode.

http://fr.php.net/utf8_decode
ca ne sert que ca si tu as besoin de passer des données encodées en ISO vers des données encodées en UTF8 et vice-verca.

[Gueuz]

Merci pour ta réponse Sabotage.

Pour en revenir au Javascript, je bloque ma page si il est désactivé.
Donc, à priori il peut pas passer outre. Je précise que c'est pour un site Intranet d'entreprise et que de plus on est obliger de passer par Internet Explorer 6.0 (limitation de notre service info).

Sinon, ok pour le utf8_encode et decode mais alors pourquoi, si je n'est pas ces deux lignes je me retrouves avec des caractères bizarres quand j'utilise des accents ? J'ai pas l'intérêt dans ce cas de figure de passer en ISO.

Mon serveur est configuré en UTF, mon Charset aussi et l'encodage de mes pages également. As-tu une idée ?

[sabotage]

Pour en revenir au Javascript, je bloque ma page si il est désactivé.

et si je desactive le javascript apres être arrivé sur ta page ?

Pour l'encodage, tu dois avoir quelque chose, quelque part qui n'est pas si UTF8 que ca
Que tu parles d'encodage des pages, tu parles bien de l'encodage des fichiers ?

[Gueuz]

et si je desactive le javascript apres être arrivé sur ta page ?

Pour l'encodage, tu dois avoir quelque chose, quelque part qui n'est pas si UTF8 que ca
Que tu parles d'encodage des pages, tu parles bien de l'encodage des fichiers ?

Ah, je ne n'avais effectivement pas penser à cette solution pour Javascript. Donc je dois tout protéger... ok...

Pour l'encodage des pages, je travaille avec Komodo. J'ai mes pages ouvertes dans des onglets, je fais bouton droit, properties and settings et là,à file Settings j'ai une ligne Encoding où je choisis UTF-8. Donc je dirais oui à ta question, après il y'a peut-être un autre endroit à changer mais je ne vois pas où.

[Invité]

A voir (peut-etre) :
http://securite.developpez.com/