Fiabilité de $_SERVER['PHP_SELF']

Version imprimable

06/07/2010, 11h07
RunCodePhp

Fiabilité de $_SERVER['PHP_SELF']

Bonjour à tous

Mon but est de faire un peu comme les FrameWork, un routage (un bien grand mot pour le moment). :mrgreen:

Dans un premier temps, je compte seulement vérifier la page demandée, et c'est théoriquement $_SERVER['PHP_SELF'].
Donc de vérifier si celle page se trouve bien parmi une liste de pages (dans un tableau, constantes, peu importe).
En faite, à l'heure actuel j'ai une classe (du nom de Template pour le moment) ou dans toutes les pages je renseigne le nom de la page.
Ensuite, je vérifie que le PHP_SELF existe bien dans la liste des pages et qu'il correspond au nom/paramètre passé au template.

Plus tard, je pense me pencher sur des trucs comme QUERY_STRING, REQUEST_URI, etc ... pour ce faire.
Disons que pour le moment je n'est pas encore de système de routage, les pages sont de vrai pages, mais j'y pense ;)

Du coup, je me pose la question si le PHP_SELF que le serveur renvoie est vraiment fiable ?
Y aurait il pas un cas ou elle contiendrait rien, ou pire, un acte malveillant d'un pirate/hacker qui aboutirait à une mauvaise info ou déboussoler le serveur ?

Qu'en pensez-vous ? :D
06/07/2010, 18h14
fredd_75

Oui c'est vraiment fiable ;)
07/07/2010, 10h16
RunCodePhp

Bon, et bien on va s'y allez alors :D

Merci pour la réponse. ;)
07/07/2010, 15h20
Halleck

Euh, désolé mais non ce n'est pas fiable. Contrairement à son nom, cette variable est une variable client ;)

Edit: Une explication ici

Citation:

Envoyé par Halleck

Contrairement à son nom, cette variable est une variable client

Effectivement, je vois ce que tu veux dire et les exemples donnés dans le topic, et j'avoue ne pas avoir pensé au truc, à ce type de piratage.
Mon pif s'agitait quelque peu, et du coup j'ai bien fait de poser la question. :)
Merci pour ces précisions. :ccool:

Ceci dit, comme je l'avais évoqué, j'avais pour intention de ne pas utiliser directement le PHP_SELF comme ça, mais de vérifier l'existence de la page demandée (donc de sa valeur) parmi une liste de fichiers (de pages).
Donc quelque part, je me dis qu'une tentative d'attaque devrait être inopérante.
Enfin, c'est ce que je me dis.
Pour résumer, pour le moment je fais comme ceci :
Code:

1 2 3 self::$page = basename($_SERVER['PHP_SELF']); if ($this->pageExists(self::$page) == false) throw new MyException('('.__CLASS__.') ERREUR : La page demandée ('.self::$page.') n\'existe pas.', E_USER_ERROR);
A coté de ça, et en regardant un peu comment les FrameWork font leur système de routage, j'ai l'impression que c'est bien plus compliqué que ça.
En faite, tout passe en paramètre, et dans une structure MVC, le modèle par exemple est passé en paramètre.
Exemple : index.php?model=un_model

Bref ... faire un routage, c'est pas gagné :?