Discussion :

[psychoBob]

Bonjour,

Comme registar global est à on chez ovh, je dois faire très attention à bien initialiser mes variables, si j'ai bien tout compris.

J'ai donc deux questions théoriques très simples :

1) Une variable transmise par un formulaire se récupère-t'elle en faisant $_GET['variable'] ou $_POST['variable'].
2) Une variable transmise par une session utilisant l'url et non les cookies se récupère-t'elle uniquement en faisant $_SESSION['variable'] ?
Peut-on faire autrement (et mieux du point de vue de la sécurité) ?
Est-ce redoutable de commettre la chose suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['variable']=$_GET['$_SESSION['variable']]

(Oui je sais c'est complètement c.. comme idée, mais bon vous savez ce que c'est quand on se réveil la tête sur le clavier et qu'on s'endort dessus...)


Voilà, ce sont des simples mais qui me turlupinent, merci d'avance pour vos informations.

[Mr N.]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Une variable transmise par un formulaire se récupère-t'elle en faisant $_GET['variable'] ou $_POST['variable'].

Si ton formulaire utilise la méthode get => $_GET
Si ton formulaire utilise la méthode post => $_POST
Si tu sais pas ou si tu es feignant => $_REQUEST

[psychoBob]

Ok pour $_POST[] et $_Get[].
Pour $_REQUEST, je viens de lire qu'il ne faut pas l'utiliser.

Reste mon doute omniprésent concernant $_SESSION['variable'] (mes variables circulent dans l'url, masquées, je précise à tout hasard) :

Je réceptionne une variable de session en faisant echo $_SESSION['variable']. Si je l'insère dans une requête sql, je l'insère comme suit '".$_SESSION['variable']."', ça fonctionne (je sais plus pour les "' j'ai plus le code sous les yeux).
Mais le hacker peut-il traficoter la variable ?
Dois-je quand même faire $_SESSION['variable']= mysql_real_escape_string(htmlspecialchars($_SESSION['variable'])) avant de les utiliser ?

- une autre question aussi à propos de register_global on : le risque ne porte que sur les variables réceptionnées par session ou formulaire, c'est bien cela ?
- Il faut donc faire comme dit ici, par exemple $variable=$_GET['variable'] avant de les utiliser dans un script, c'est bien ?
- Une variable transmise dans l'url d'un lien de confirmation expédiée par email se réceptionne avec $_GET ou $_POST ?
- Il doit bien y avoir une règle à piger qui régie tout ça non ?

[Mr N.]

Ok pour $_POST[] et $_Get[].
Pour $_REQUEST, je viens de lire qu'il ne faut pas l'utiliser.

Chacun fais comme il veut. Je suis feignant et je m'arrange pour ne pas avoir de conflit de nom entre cookies,get et post => donc j'utilise _REQUEST

Mais le hacker peut-il traficoter la variable ?

Dans un premier temps je dirais non. Mais si les variables de session sont stockées dans un cookies alors oui. Le truc que je sais pas, c'est si $_SESSION va chercher dans les cookies ou si on est obligé de passer par $_COOKIES. J'ai un doute là dessus.
Mais en règles général, et chez ovh, les sessions sont stockées sur le serveur, donc si toi tu mets une valeur saine, elle ne peut être trafiquée, pour peu que le serveur soit lui meme blindé.

- une autre question aussi à propos de register_global on : le risque ne porte que sur les variables réceptionnées par session ou formulaire, c'est bien cela ?

Que les formulaires + url + cookies.

- Il faut donc faire comme dit ici, par exemple $variable=$_GET['variable'] avant de les utiliser dans un script, c'est bien ?

Ou utiliser directement $_GET['variable']

- Une variable transmise dans l'url d'un lien de confirmation expédiée par email se réceptionne avec $_GET ou $_POST ?

La réponse est dans la question. url = get

[psychoBob]

Impec, merci Mr N.