[AJAX] sécurité liste imbriqué et SQL

Version imprimable

Bonjour,

J'ai mis en œuvre le tutoriel de listes liées. http://siddh.developpez.com/articles/ajax/. Toutefois, je m’interroge quant à la sécurité de ce code.

En effet on passe une variable javascript vers Php (ici idauteur)

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function go(){
				var xhr = getXhr();
				// On défini ce qu'on va faire quand on aura la réponse
				xhr.onreadystatechange = function(){
					// On ne fait quelque chose que si on a tout reçu et que le serveur est ok
					if(xhr.readyState == 4 && xhr.status == 200){
						leselect = xhr.responseText;
						// On se sert de innerHTML pour rajouter les options a la liste
						document.getElementById('livre').innerHTML = leselect;
					}
				}
 
				// Ici on va voir comment faire du post
				xhr.open("POST","ajaxLivre.php",true);
				// ne pas oublier ça pour le post
				xhr.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
				// ne pas oublier de poster les arguments
				// ici, l'id de l'auteur
				sel = document.getElementById('auteur');
				idauteur = sel.options[sel.selectedIndex].value;
				xhr.send("idAuteur="+idauteur);

Ce code est-il sensible à une injection SQL? Suis-je ici obligé de sécuriser les variable envoyées?

Merci.

26/09/2011, 11h01
Bovino

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)
11/10/2011, 19h35
beegees

Citation:

Envoyé par Bovino

Les données reçues par PHP, quelle que soit leur origine (AJAX, formulaire simple ou autre), doivent impérativement être validées avant d'être utilisées !
Un principe simple : NTUI (Never Trust User Input)

Qu'entends-tu par "validé" ?

C'est un sujet important qui m'intéresse beaucoup.

Merci d'avance pour ta réponse.

beegees
12/10/2011, 07h50
vermine

Bonjour,

Cela veut dire que l'on va vérifier les données fournies par l'utilisateur afin de voir s'il a bien encodé ce que nous attendions. Par exemple, là où nous demandions son login, il ne faut surtout pas qu'il encode :

Citation:

Edouard' or 1=1;--

Ce qui correspond à une intrusion malvenue. :aie:

De même, si on demande une date de naissance, on ne veut pas recevoir un prénom. Car la base de données attend une date et non un varchar. L'insert va planter. :aie:

Donc on va valider le format de chaque données encodées et refuser tout ce qui ne ressemble pas à ce que l'on désire.