[Sécurité] Interpretation des variables dans PHP

Version imprimable

18/06/2007, 15h16
Invité

[Sécurité] Interpretation des variables dans PHP

Bonjour a tous !

J'avais une petite question qui peut paraitre stupide, mais me laisse songeur...
Supposons que j'autorise un utilisateur a entrer des informations, et que je les stock dans une variable, $dummy par exemple... De plus, je n'effectue aucun controle sur la saisie du client. Y'a t'il un risque de securite ? L'utilisateur peut il entrer des valeurs inhabituelles pour faire faire au code ce qu'il veut ?
Un peu comme le principe des injections SQL, version php.
Je precise que cette variable php ne sert qu'a effectuer un traitement quelconque, pas de stockage dans une base de donnees ou d'affichage sur une page web.
Je suis presque sur que c'est impossible, mais comme c'est du "presque sur"...

Merci d'avance :)
18/06/2007, 15h23
mathieu

ça dépend ce que tu fais avec cette variable
si par exemple tu l'affiches dans du code html, le visiteur pourra mettre ce qu'il veut dans ta page html, du code Javascript, plein de code html
si tu utilises cette variable dans une requête SQL, le visiteur pourra exécuter ce qu'il veut comme requête, lire toute la base ou même supprimer des tables
18/06/2007, 15h23
Wharenn

D'une façon générale, il ne faut jamais faire confiance aux informations transmises par un utilisateur. Ne pas faire de contrôle c'est jouer avec le feu et avoir une épée de damocles au dessus de la tête. Laisser faire ce qu'il veut à un utilisateur n'est pas anodin.

Après ca dépend de la portée de ta variable... mais bon... :roll:
18/06/2007, 15h34
aurelman

Bonjour,

Même si tu n'affiches pas la variable dans du HTML, même si tu ne la stockes pas dans une base de donnée, il y a potentiellement danger.

Cela dépend des traitements et calculs que tu fais avec ta variable.

Exemple : la fonction php eval.
18/06/2007, 16h11
Invité

En fait j'utilise cette variable pour stocker des caracteres, en faire un md5 et le verifier a un autre md5... Donc je doute que ca puisse vraiment agir dessus, mais je prefere avoir confirmation :)
Pour les affichages web et stockage dans une BDD, oui oui j'avais bien marque que ca ne rentrait pas en compte ;)
18/06/2007, 16h27
aurelman

Sous réserve que la fonction md5 ne contienne pas de faille, je ne pense pas qu'il y ai réellement besoin de vérifier ce que tu reçois vu que les entrée utilisateurs sont typés comme des 'string' (chaine de caractères hein ! ;) ) pour php.

Cependant, moi qu'en j'ai le moindre un doute, je vérifie ... !