Discussion :

[cassis2k]

Bonjour à tous,

Je cherche à créer une page qui affiche le contenu d'un fichier. 2 actions sont possibles, l'ajout et la recherche toujours dans le même fichier. J'ai opté pour l'utilisation d'une variable $_GET afin d'accéder aux différentes fonctions couplé à un switch.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
if (isset($_GET['do']))
{
    if (in_array($_GET['do'], $do_possible))
    {
        $do = $_GET['do'];
    }
}
else
{
    $do = NULL;
}

Ce code est il suffisant pour nettoyer ma variable ?

Merci d'avance pour les retours

[sabotage]

De quoi nettoies-tu ta variable ?

Si je comprends bien "do" c'est soit ajouter soit rechercher.
Si un "do" en dehors de ces deux choix arrivait ... tu ne tomberais simplement dans aucun cas prévu dans le switch.

[cassis2k]

Je souhaite que le script ne réagisse qu'avec les variables souhaitées. Je tente d'éviter des failles de type include ou XSS.
Les actions possibles sont stockées dans le tableau suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$do_possible = array ('add', 'search');

Tout ce qui est affiché est protégé par cette fonction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
function AgainstXSS($string)
{
    return htmlentities($string, ENT_QUOTES, 'UTF-8');
}

En fait je me demande si je dois utiliser la fonction AgainstXSS pour vérifier la variable $_GET ou est ce inutile ?

[sabotage]

Je dirais que les deux sont inutiles pour la raison que j'ai donné au dessus :

La valeur recu ne vas ni être affichée, ni servir dans une inclusion, donc il n'y a pas de risque.

[cassis2k]

Ok d'acc, je me suis égaré alors. Merci sabotage

Ce code est donc suffisant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
if (isset($_GET['do']))
{
    $do = $_GET['do'];
}
else
{
    $do = NULL;
}