Discussion :

[JackBeauregard]

Bonjour,

Je suis pris soudain d'un doute affreux et tenaillant qui me pousse à aller me coucher, mais bon je vais tâcher d'être courageux.

Voilà, chez mon hébergeur, OVH, register_global est à ON, donc dans mes requêtes sql, je peux écrire de la même façon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
WHERE '".$var."'
ou 
WHERE '".$_POST['var']."'
ou
WHERE '".$_GET['var']."'

Mais à réception d'une variable GET, ou POST, je fais cela bien sûr :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$var=mysql_real_escape_string($_GET['var']);

Puis j'insère $var dans les requêtes suivantes, comme ci-dessus.

Alors compte tenu du fait que register_global est à ON, je me demande si je ne devrais pas plutot faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$bob=mysql_real_escape_string($_GET['var']);

C'est à dire changer le nom de la variable, plutôt que d'insérer dans les requêtes SQL de la page une variable qui ait le même nom que celle réceptionnée par POST ou GET.

Vous en pensez quoi, s'il vous plaît ?

[matN59]

bonjour

vu que tu fais une affectation de ta variable, elle prendra la valeur que tu lui specifie.
Donc apres, elle aura bien la valeur de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string($_GET['var']);

par contre avant, bah elle est deja definit et peu contenir du code par forcement licite

[JackBeauregard]

Avant c'est à dire à réception ? Oui donc je la filtre et puis je récupère son contenu dans une autre variable $var, variable locale si je ne me trompe pas d'appelation.

Mais le script, aidé par le pirate, ne peut-il confondre $var avec celle qu'il a reçu par $_GET['var'] ou $_POST ['var'] et qui porte en fait le même nom, ce après qu'elle ai déjà été réceptionnée et son contenu filtré ?

[matN59]

bonjour

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<?php
if ($var) {
// cette portion de code est sensible
...
}
$var=mysql_real_escape_string($_GET['var']);
// a partir d'ici tu n'est plus sensible au problemes d'injection de code
?>

donc pour te proteger, comme il t'a ete dit dans des post precedents, fait tes affectations de tes variables en debut de script, tu es sur au moins apres de ce que tu traites est bien ce que tu attends

[JackBeauregard]

Oui c'est ce que je fais mais j'étais pris d'un doute tenaillant.