Discussion :

[Tchupacabra]

Bonjour,

j'aimerais tester la valeur renseigné à un chmod...
sachant que la valeur du mode doit être un nombre en notation octale, est-ce qu'à votre avis le test suivant est suffisant ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if ( preg_match('#[0-7]{3}#', decoct($mode)) ) {
    // ok
} else {
    // erreur
}

Merci pour vos remarque.

@+

[gwinyam]

Et si tu testais toi-même ton script? Ou alors j'ai pas compris la question...

Tu penses que ton truc est faux mais tu n'as pas réussi à trouver de failles pour le moment, ou tu n'as juste pas testé?

[Tchupacabra]

bien sur que j'ai testé mon script avant de poster... ainsi que quelques recherches.
C'est pas spécialement pour les failles de sécurité (si c'est ça que tu veux dire) mais surtout pour ne pas oublier de cas spéciaux / particuliers car je ne maitrise absolument pas cette notation octale.
Aussi pour savoir s'il n'y a pas plus simple / plus sûr que de passer par un string et un regex... à la manière d'un is_int().

[gwinyam]

Ok, ça marche.

Un premier conseil: là tu ne contrôles que si il y a une suite de 3 chiffres compris entre 0 et 7 dans ta chaîne de caractères. Ce qui veut dire que par exemple : "a752b" survivrait à ta moulinette.
Solution:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if ( preg_match('#^[0-7]{3}$#', decoct($mode)) ) {
    // ok
} else {
    // erreur
}

Ainsi ton pattern affirme qu'il commence le contrôle dès le début de la chaine et qu'il en est aussi la terminaison.
Par contre, ton mode reste une suite d'entiers. Je vois pas trop à quoi te sers decoct. Tu peux être plus clair sur son utilité ici?

[Tchupacabra]

d'après mes tests $mode est analysé par preg_match en décimal...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
// mode qui doivent fonctionner
$o->setPermission(0755);	// mode:493 decoct(mode):755 octdec(mode):35
$o->setPermission(0666);	// mode:438 decoct(mode):666 octdec(mode):35
$o->setPermission(0005);	// mode:5 decoct(mode):5 octdec(mode):5 (ne marche pas)
$o->setPermission(0050);	// mode:40 decoct(mode):50 octdec(mode):32 (ne marche pas)
// mode qui pourraient fonctionner
$o->setPermission(111);		// mode:111 decoct(mode):157 octdec(mode):73
$o->setPermission(755);		// mode:755 decoct(mode):1363 octdec(mode):493 (ne marche pas)
// mode qui ne doivent pas fonctionner
$o->setPermission(00550);	// mode:360 decoct(mode):550 octdec(mode):240 (ne marche pas)
$o->setPermission(0785);	// mode:7 decoct(mode):7 octdec(mode):7
$o->setPermission('0755');	// mode:0755 decoct(mode):1363 octdec(mode):493
$o->setPermission('07a5');	// mode:07a5 decoct(mode):7 octdec(mode):61
$o->setPermission('0755a');	// mode:0755a decoct(mode):1363 octdec(mode):493
$o->setPermission(07551);	// mode:3945 decoct(mode):7551 octdec(mode):229

sans traitement de $mode, sa valeur ne correspond à rien.. (à ma connaissance)

exemple avec première ligne :
sans decoct($mode) preg_match retourne FALSE car la valeur vaut 493 qui contient le caractère 9 interdit.

Donc actuellement, le motif ~^[0-7]{3}$~ n'est pas correct... (car comme indiqué : 4 tests ne marchent pas)

[gwinyam]

Ok, effectivement, ça ne peut pas marcher.

Mais alors là du coup, je comprends pas d'où sort ton $mode, parce qu'il prend parfois des valeurs correctes correspondant à un chmod, parfois des valeurs "spéciales"... tu peux essayer de m'aider à comprendre?
ça se trouve c'est pas sur l'expression qu'on doit agir (elle correspond à un chmod, je t'assure), mais donc sur la source de données qui à priori peut fournir des anneries...

[Tchupacabra]

Je développe une classe avec une fonction public setPermission($mode) permettant à un utilisateur de spécifier les droits d'un fichier. J'essaye donc de vérifier la valeur du paramètre $mode avant de l'utiliser dans un chmod($fichier, $mode).

Donc, mon problème est de trouver une méthode fiable pour cette vérification...

[gwinyam]

Ah ok. Ben alors faisons l'inverse. Contrôle effectivement la valeur saisie, mais juste en tant que valeur entière et décimale.

Et selon les cas:

• Si c'est dans un champ texte que se fait la saisie, contrôle que le CHMOD correspond à une valeur normale
• Si c'est par une gestion graphique avec génération par un script, teste toutes les combinaisons de clic (512)
• Si c'est interne au code, ben là, on peut rien pour le guignol qui met des anneries dans son code... Peut-être un commentaire mais bon, on peut pas sauver tous les demeurés