IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

trois antislash pour les trois caractere :"?>(sécurité)


Sujet :

Langage PHP

  1. 21/05/2009, 22h51 #1
    sebatlante
    sebatlante est déconnecté
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    174
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 174
    Points : 74
    Points
    74
    Par défaut trois antislash pour les trois caractere :"?>(sécurité)
    Bonjour, je cherche à sécurisé les faille de mon site(XSS,Include, etc) et j'ai remarqué quelquechose qui m'intrigue.
    Prenons comme exemple le code ci-dessous:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    <?php
 
        if($_POST['nom'])
        {
 
                $var=$_POST['nom'];
                $var2=$var;
 
                echo $var2;
 
 
        }
 
 
?>
 
<html>
<form method="POST" action="index.php">
<input type="text" name="nom"/><br/>
 
<input type="submit" />
</form>
</html>
    si on entre dans le formulaire ce texte:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    blablabla
    cela revient à:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?php
 
        if($_POST['nom'])
        {
 
                $var=$_POST['nom'];
                $var2=$var;
 
                echo "blablabla";
 
 
        }
 
 
?>
    Maintenant si on entre dans le formulaire les trois caractere suivant:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    "?>
    On pourrait s'imaginer un code du type:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?php
 
        if($_POST['nom'])
        {
 
                $var=$_POST['nom'];
                $var2=$var;
 
                echo ""?>;
 
 
        }
 
 
?>
    bref, un bug...
    Mais aparement ce n'est pas le cas: ça semble protéger (cool )
    Mais un truc étrange aparait:
    Si on met les trois caractere
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    "?>
    , on voit afficher
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    \"?>
    Bref le code est celui la:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?php
 
        if($_POST['nom'])
        {
 
                $var=$_POST['nom'];
                $var2=$var;
 
                echo "\\\"?>";
 
 
        }
 
 
?>
    Ce que je comprend pas c'est pourquoi trois antislash? un seul suffirai:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?php
 
        if($_POST['nom'])
        {
 
                $var=$_POST['nom'];
                $var2=$var;
 
                echo "\"?>";
 
 
        }
 
 
?>
    Pourquoi php ajoute 2 antislash?
    Répondre avec citation Répondre avec citation   0  0
  2. 21/05/2009, 23h01 #2
    Séb.
    Séb. est déconnecté
    Expert éminent
    Avatar de Séb.
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    5 091
    Détails du profil
    Informations personnelles :
    Âge : 46
    Localisation : France

    Informations professionnelles :
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mars 2005
    Messages : 5 091
    Points : 8 194
    Points
    8 194
    Billets dans le blog
    17
    Par défaut
    bref, un bug...
    Ben non, un script PHP affiché n'est pas exécuté.

    Mais un truc étrange aparait:
    Ce sont les magic-quotes.
    Doc à leur propos : http://fr3.php.net/manual/fr/security.magicquotes.php

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    echo "\"?>";
    Si tu exécutes cette commande tu te retrouveras avec :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    "?>
    Un problème exposé clairement est déjà à moitié résolu
    Keep It Smart and Simple
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
  • Accueil
  • Forum
  • PHP
  • Langage
  • trois antislash pour les trois caractere :"?>(sécurité)
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Apple, Samsung et Microsoft sont les trois entreprises technologiques les plus valorisées au monde
    Par Stéphane le calme dans le forum Actualités
    Réponses: 3
    Dernier message: 15/05/2015, 21h41
  2. [eZ Publish] Trois patchs de sécurité ont été publiés pour les versions 4.1 et 4.2 de eZ Publish
    Par Thes32 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 26/03/2010, 12h45
  3. expression régulière pour remplacer les trois premieres apparition d'un caractère dans une ligne
    Par proDZ dans le forum Langage
    Réponses: 4
    Dernier message: 21/10/2009, 10h17
  4. [Lazarus] Equivalent de bass.dll pour les trois OS
    Par J_apprenti dans le forum Lazarus
    Réponses: 1
    Dernier message: 16/07/2008, 13h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo