Comment sécuriser un paramètres d’url qui contient du texte ?

Version imprimable

13/10/2012, 16h09
Vinyl

Comment sécuriser un paramètres d’url qui contient du texte ?

Bonjour,

Comment sécuriser un paramètres d’url qui contient du texte ?

Dans mon cas, pour la réécruture url, j’utilise une url de départ :

Citation:

Ma-page.php?id_article=1&alias=nom-article

Ce qui donne :

Citation:

1-nom-article.php

Pour le paramètre id_article, je vérifie que c’est bien un int, etc :

Code:

if (isset($_GET[id_article] && $_GET[article] != null && $_GET[id_article] >= 1 && $_GET[id_article] <= 4 && (int) $_GET[id_article])

Comment sécuriser le paramètre alias qui contient du texte ?
13/10/2012, 16h38
rawsrc

Salut,

l'échappement des données de l'url se fait avec rawurlencode()
13/10/2012, 17h07
RunCodePhp

Salut

Tout d'abord, il n'y aurait pas erreur entre sur le nom du paramètre ?
Dans l'URL au départ c'est "alias", puis dans le code de vérification c'est "article" ???

Dans ce cas présent, on pourrait très bien éviter de vérifier cette donnée (la chaine : alias ou article) car la logique veut que ce qui rend unique chaque lien, donc chaque document HTML c'est l'ID de l'article (id_article).
Donc à partir du moment où cet ID est un nombre entier valide qui plus est débouche bien sur un article (requête SQL par exemple), alors on renvoie le contenu du document, sinon une erreur type 404 (théoriquement).

De plus, on ne sait pas comment et sur quoi tu te base pour créer le nom de l'article que compose cette URL réécrite.
Le titre de l'article ? Si c'est le cas, est-on garanti à 100% qu'un titre soit unique ?
13/10/2012, 17h59
Vinyl

Citation:

Envoyé par RunCodePhp

Salut
Tout d'abord, il n'y aurait pas erreur entre sur le nom du paramètre ?
Dans l'URL au départ c'est "alias", puis dans le code de vérification c'est "article" ???

Merci pour vos réponses.

Plus de précisions :

Il n'y pas d'erreur sur le paramètre. Je montrais comment je vérifiais le paramètre id_article qui est un integer.

Je fais une vérification : si il est vide, si ce n'est pas un integer, etc. je redirige vers la page index.php (header location).

Et j'aimerais faire une vérification sur le paramètre alias (qui est récupéré depuis la bdd et qui est déjà formaté urlrewritting (une fonction a nettoyé le titre de l'article qui est convertit en alias).

Ça donnerait déjà ça pour commencer :

Code:

if(!empty($_GET['alias'])){}

Je voudrais empêcher un utilisateur de saisir des caractères spéciaux ou autres tentative de piratage en tapant dans le paramètre alias de l'url.
13/10/2012, 20h25
RunCodePhp

Citation:

Je voudrais empêcher un utilisateur de saisir des caractères spéciaux ou autres tentative de piratage en tapant dans le paramètre alias de l'url.

Ok, mais par rapport à ce que je disais, qu'en pense tu de l'utilité de vérifier l'exactitude de cette chaine "alias" alors que ce qui défini véritablement un article c'est la valeur de l'id_article que tu obtiens (ou doit obtenir) ?

Admettons le scénario suivant :
On a dans la Bdd un article dont l'ID est : 50 et dont l'Alias est : UnArticle
Si je saisie l'URL suivante directement dans un navigateur :
-http://www.tonsite.com/50-UnTrucPourTenterUnHack.php

Pour ma part, le simple fait d'obtenir 50 pour id_article me suffit pour lui renvoyer comme réponse le document HTML correspondant, quand bien même que la valeur de l'Alias soit incorrecte.

Maintenant rien empêche de pousser le bouchon à ce que ces 2 infos (id_article et alias) soient totalement en phase, et là, un simple !empty() coté Php suffit comme tu le prévois.
Après, il faudrait lancer une requête SQL pour tenter de récupérer cette article à condition que ces 2 valeurs soient exacte.
C'est à mon sens surtout au niveau du SQL ou il faudra être vigilent, comme par exemple exploiter PDO + requête préparée pour le coté sécurité.
Ici, si la requête renvoie rien c'est qu'il a erreur sur l'une des deux infos, voire les deux.
Et là, on s'en fiche un peu de savoir à quel niveau et même pourquoi, on renvoie une erreur de type 404 et l'affaire est réglée.

Je dirais qu'il n'y a pas lieu d'être paranoïaque.
C'est surtout lorsqu'une requête HTTP (surtout via un simple lien) débouche sur des modifications (insert into, update, delete) et sur des données plus ou moins sensibles/confidentielles où là il est bon d'être un peu parano.
Raison de plus si le site Web a une certaine notoriété et/ou quelque chose à gagner.
13/10/2012, 22h34
Vinyl

Citation:

Envoyé par RunCodePhp

Ok, mais par rapport à ce que je disais, qu'en pense tu de l'utilité de vérifier l'exactitude de cette chaine "alias" alors que ce qui défini véritablement un article c'est la valeur de l'id_article que tu obtiens (ou doit obtenir) ?

Ok, je comprends tes explications et c’est logique. Merci.

Je suis un peu parano car je me suis fait piraté récemment un cms.

Sinon, pour la sécurité, il y a crawlprotect. Pour ceux qui ne connaissent, ce script génère un fichier htaccess avec des règles qui empêchent de trafiquer les url (par exemple, il bloque monsite.com/index.php?http:// sitepirate…