Discussion :

[proximacent]

Bonjour

J'espère que je poste au bon endroit.

Depuis un moment je me suis mis au php et je roule ma bosse.

Maintenant mon site est en ligne et tout vas bien sauf !! Que ...

Au lieu de me brancher sur phpMyAdmin j'essaie de modérer les messages via mon site. Donc je sélectionnes modération dans mon menu en faisant transiter ma variable $_Get["maVariable"] par l'URL qui traduit le n° de message à modérer pour la récupérer sur la page de modération. Donc si je tapes n'importe quoi dan l'URL après le point d'interrogation je met la page en erreur. Merci de m'expliquer les dispositions à mettre en oeuvre pour éviter ce genre de problème. J'ai lu les tutos pour la sécurité mais je n'ai pas su où trouver l'info.

[Marc3001]

Tu trouveras plein de choses ici

[proximacent]

Merci Marc3001 pour ta réponse.

Je crois que je vais faire de la lecture avant de continuer.

Bonne journée

[JStevens]

Même si la doc est plutôt pas mal, elle ne réponds pas précisément à la question.

Si tu fais passer l'id dans l'url comme ceci :
http://ton_site.com/moderate.php?id=tonid

Si celui ci est un entier (ce qui est généralement le cas), alors il te suffit de verifier comme ceci :

$id = intval($_GET['id']);

En faisant ceci, tu ne récupèreras que la valeur entier de l'id et corrige ainsi une potentiel faille (xss).

Pour les chaines de caractère, il y a la fonction htmlspecialchars()
Et avant d'enregistrer quoique ce soit dans mysql, il faut faire un mysql_escape_string() sur la valeur à insérer.

[ska_root]

Bonjour,

$id = intval($_GET['id']);

En faisant ceci, tu ne récupèreras que la valeur entier de l'id et corrige ainsi une potentiel faille (xss).

et si $_GET['id'] est null ?

je préfère :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
// si $_GET['id'] existe, est différent de 0, et est un numérique 
if(!empty($_GET['id']) && is_numeric($_GET['id'])) {
 
  // j'utilise $_GET['id']
  $id= $_GET['id'];  
 
}

mais on s'éloigne de la question, pour récupérer la valeur dans la page, cela suffit :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$id= (isset($_GET['id'])) ? ($_GET['id']) : (0);
// $id est egal a $_GET['id'] si il existe, ou 0 par défaut

[proximacent]

Merci Jstevens et Ska_root pour vos réponses fructueuses.

En effet la lecture que j'ai entamée est de très bonne facture mais on ne trouve pas tous les cas de figures, voilà aussi la vocation du forum.

J'ai appliqué la recommandation de Jstevens, ce qui m'a bien avancé. Mais justement je me suis dis que d'autres cas de figures devraient être traité, et ce qui a comblé mon questionnement fut la tournure encore plus détaillée de Ska_root. Voilà tout est rentré dans l'ordre.

Par ailleurs il serait intéressant de trouver des cas de figures concrets au regard des failles qui peuvent résulter d'un développement inexpérimenté. Certes cela doit exister dans le forum ou ailleurs. Je m'en vais les découvrir.

Merci à vous tous.

[JStevens]

et si $_GET['id'] est null ?

Exacte Au temps pour moi.

Cependant dans ta deuxième formulation, t'as oublié le intval du coup

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$id = isset($_GET['id']) ? intval($_GET['id']) : 0;

ou bien avec is_numeric :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$id = isset($_GET['id']) && is_numeric($_GET['id']) ? $_GET['id'] : 0;