Éviter le passage d'une url dans mon url

Version imprimable

10/10/2008, 15h08
grinder59

Éviter le passage d'une url dans mon url

Bonjour,

j'ai un petit souci avec une tentative de piratage sur mon site...
Pour accéder aux différentes pages de mon site, je passe par une variable "nav" qui prend différentes valeurs : 1, 2, 3, 4, 5... chaque valeur numérique étant en fait le nom de la page contenu.

mon url est donc : http://mondomaine.com/index.php?nav=1&souscat=2

Le souci : j'ai un salopard qui appelle manipule l'url de la façon suivante :

http://mondomaine.com/index.php?nav=...c/machin.txt??

machin.txt tentant l'exécution d'une commande perl interdite par mon hébergeur qui au final me bloque mon site...

Comment puis-je faire pour éviter cela ? j'ai penser faire un test sur "nav" pour tester si c'est bien un numérique et lui affecter une valeur par défaut, mais est-ce suffisant ?

de plus si la valeur de nav (i.e : index.php?nav=page1) était un string, comment aurais-je pu contrer la tentative de piratage ?

Merci de votre aide !
10/10/2008, 15h12
Lunthear

Tu peux simplement mettre les pages autorisées dans un tableau et tester avec un in_array() ;)
10/10/2008, 15h23
grinder59

J'avais pensé créer une page à inclure en début de script avec la gestion de toutes mes variables GET afin de tester la valeur de chacun d'elle et leur donner des valeur par défaut en cas de détection d'une valeur non autorisée...

Est-ce une bonne solution ?

Bah en gros faire un truc du genre ?

Code:

1
2
3
4
5
6
 
<?php
$page_finale = (in_array($_GET['nav'], $pages_autorisees)) ? htmlspecialchars($_GET['nav']) : 'page_par_defaut.html';
 
// Puis tu inclus $page_finale ..
?>

non ?

10/10/2008, 15h42
grinder59

ok, merci !