IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Tutoriel récapitulatif de sécurité (PHP5)

Date de publication : 12 mai 2006 , Date de mise à jour : 12 mai 2006

[ Précédent ] [ Sommaire ] [ Suivant ] [ Télécharger ]

III. Les paramètres envoyés à un script
III-1. Les valeurs numériques
III-2. Les chaînes de caractères
III-3. Les tableaux


III. Les paramètres envoyés à un script

Il convient de filtrer toutes les données reçues par vos scripts. Cela implique de savoir à quel usage elles sont destinées. Notez que je parle de "données" (ou bien de "valeurs") mais pas de "variables". C'est bel et bien la valeur de chaque variable qui nous importe et qui peut poser problème.
Le principe général est de ne faire confiance qu'à ce que vous avez créé vous-même dans vos scripts. Tout le reste doit être abordé avec méfiance et filtré en conséquence. Cela englobe les superglobales $_GET, $_POST, $_REQUEST, $_COOKIE et (dans certains cas) ce qui est extrait de votre base de données. Nous pouvons avoir confiance en la superglobale $_SERVER, tant que nous n'y introduisons pas des données brutes provenant de l'utilisateur.


III-1. Les valeurs numériques

  • Si vous attendez une valeur entière, convertissez-la avec intval().
  • Si vous attendez une autre valeur numérique, assurez-vous que ce soit effectivement une valeur numérique à l'aide d'is_numeric().

III-2. Les chaînes de caractères

  • La chaîne doit-elle correspondre à un format particulier ? Si oui, il faudra mettre en place des méthodes de validation. Les expressions régulières constituent généralement une solution très efficace.
  • Dans les autres cas, il faudra apporter un soin particulier à l'utilisation de la chaîne : se demander quel est le besoin, filtrer ce qui est inutile ou indésirable, etc.

III-3. Les tableaux

Il faut parcourir les éléments et appliquer le traitement adéquat.

[ Précédent ] [ Sommaire ] [ Suivant ] [ Télécharger ]

Valid XHTML 1.1!Valid CSS!

Les sources présentées sur cette page sont libres de droits et vous pouvez les utiliser à votre convenance. Par contre, la page de présentation constitue une œuvre intellectuelle protégée par les droits d'auteur. Copyright © 2006 Guillaume Rossolini. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.