Le blog de llaumgui - Bien débuter le développement d'une application web niveau sécurité - Commentaires

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 17 Apr 2006 20:17:18 +0000

Tu récupère tes variables directement à partir du tableau $_GET. Perso, j'utilise un tableau $kernel->_GET perso que je traite (quote, utf, etc...).

Bien débuter le développement d'une application web niveau sécurité - cedras

cedras — Mon, 17 Apr 2006 16:03:04 +0000

C'est vrai que si tu mets pas le else, et que t'es sous register_global = On, tu peux alors passer l'admin via l'url hxxp://www:toto.toto.com/index.php?admin=1 ce qui reviendrait en fait à faire le truc stupid :

$admin = $_GET['admin'];

donc si j'ai bien compris ce qui a été dit je vais conclure que c'est cette ligne qu'on utilise pour initialiser une variable à travers l'url. Sinon, comment faire pour initialiser une variable à partir de l'url

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Thu, 05 May 2005 11:52:12 +0000

Oula... Là tu passe admin via hxxp://www:toto.toto.com/index.php?mid=1. Faut plutôt mettre le login et mots de passe (md5) dans le cookie qui génère ton mid dans la session et la tu fais:

if( $_SESSION['mid'] == 1 ){
$admin = 1;
}
else{
$admin = 0;
}

$admin = $_GET['admin'];

Bien débuter le développement d'une application web niveau sécurité - Fantome

Fantome — Thu, 05 May 2005 11:44:46 +0000

Je pense aussi que Register_Global est important mais je rajouterais qu'il faut pense a initialiser une variable si elle doit étre testé.

exemple de code faux (il me semble)
<php
....
if($_GET['mid']==1) $admin = 1;
...
if($admin){
....
}
?>

si je me trope pas et que Register_Global est On on peut ettribuer la valeur 1 a $admin simplement dans l'url. Donc il y a une faille de sécurité il faudrais mettre
<php
...
if($_GET['mid']==1){
$admin = 1;
}else{
$admin = 0;
}...
?>

Merci de me coriger si je me trompe.

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 02 May 2005 08:59:16 +0000

Le problème c'est que même des applications comme phpNuke, ayant pignon sur rues, ne tourne pas en register_global = On... En tout cas c'était le cas la dernière fois que j'ai testé...

Bien débuter le développement d'une application web niveau sécurité - Darken

Darken — Mon, 02 May 2005 01:15:31 +0000

Intéressant, assez clair et efficace. De plus, pour ceux qu'ils veulent tester si leurs scripts tournent sous register_global à Off est de tester leurs scripts en local sous un serveur à register_global à Off.

Ceci ne sera pas pleinement persuasif si le script est bien sécuritaire mais va mettre l'heure juste s'il utilise le global à ON ou bien à OFF... (Disons que c'est une technique extremement primitif mais pour un utilisateur lambda, rapidement pratique pour ce dire : hmmm, fonctionne pas !? hmmm, j'installe pas ça en mode production.) et ça, c'est déjà un bon départ. Sinon, il suffit de vérifier le code.

D'ailleurs, vous pouvez vérifier si votre hébergeur est à ON ou à OFF recherchant ceci dans la configuration (via php_info) : «register_globals - On - On» ou bien «register_globals - Off - Off» et ainsi de suite...