Discussion :

[camcam8782]

Bonjour,

J'ai deux questions relatives a la securité PHP :

- Mettre un 'htmlentities' sur toutes les variables recupérées (input passé en post) est-il suffisant comme sécurité?

- En dehors de vérifier des la taille ou l'extention d'un fichier, quel est le moyen le plus sur de securiser un upload (dans le cas present il doit s'agir uniquement de photos)

Merci d'avance
cam

[sabotage]

htmlentities ne doit être utilisé que lorsque la donnée est affiché à l'écran.
il n'y a pas de raison par exemple de l'utiliser quand on met la donnée dans une base.

je dirais même que d'un point de vue sécurité, il n'y a pas de raison d'utiliser htmlentities sur une variable post , le mieux que pourrait faire l'utilisateur serait de défigurer sa propre page.

si tu veux aller plus loin que l'extension, tu peux lire les en-tête des fichiers pour réperer leurs caractéristiques.
par exemple sur une image JPEG, tu as l'indication JFIF.

[Inazo]

Bonjour à tous,

Alors je vais rajouter un peu mon grain de sel

1) htmlentities ou htmlspecialchars doivent être utilisées à l'affichage. Car cela protège les internautes d'attaques de type XSS voir CSRF.

De plus si tu met tes informations dans une base de données, MySQL par exemple, il faut obligatoirement utiliser les fonctions de sécurisation tel que mysql_real_escape_string lors de la requête pour toutes les données.

2) L'upload,

Vaste sujet qui si je ne me trompe pas fut traité dans un tutoriel sur developpez.com. Mais pour faire cour Sabotage a raison en plus de vérifier l'extension du fichier (et là il y a moult façon de le faire) il faut en plus vérifier si les bits magique sont présent pour un gif : GIF89 (de mémoire).

Mais en plus de cela tu dois toujours au grand toujours mettre toi même l'extension du fichier lors de ça sauvegarde. Si par exemple ton programme dit que le format du fichier suivant : "MaPhoto.gif.php" est le format GIF, tu dois toi même marquer MaPhoto.gif.php.gif, ainsi il sera impossible d'utiliser le fichier en tant que fichier php. Ok cela repose sur de très mauvaises protection en amont mais j'ai déjà vu.

De plus il ne faut pas oublier de faire attention au NULL BYTES qui pourrait te causer bien des soucis avec un fichier du genre MaPhoto.php%00.gif

Voila pour des bases.

Cordialement,

[zesavantfou]

Moi je me prend pas la tête avec ca:
tu prend la photo tu recupère l'extension, tu vérifie avec un if si elle correspond aux formats que tu accepte, si c'est pas le cas tu annule l'upload, si c'est la cas, tu génère radicalement un nom a ta photo et tu la nomme avec:

md5.extension que tu a récupérer.

quand tu es un peu parano, utilise une regex pour que dès qu'il y a la suite de caractère php (ou autre ) dans le nom de la photo tu ne l'accepte pas en affichant un message d'erreur: veuillez renommer votre photo et ressayer.

et tu ne risque rien. Mais bon si tu veut donner le maximum de confort a tes utilisateurs, fait ce que sabotage et camcam disent, c'est mieux dans ce cas.

[Inazo]

Le md5.extension c'est une solution valable mais un peu éloigner de la réalité des usager.

Si l'upload du fichier doit servir à intégrer le fichier via un lien dans tu texte dans une actualité par exemple son nom est important pour l'identifier rapidement parmi plusieurs autres fichier.

Ensuite il faut voir comment tu contrôle ton extension si tu fais le contrôle avec ce qui se trouve uniquement dans le tableau $_FILES il y a un gros soucis

Cordialement,

[zesavantfou]

Comment alors on fait pour se protéger contre le null byte ? on fait regex toute bete ?

[Inazo]

Ben en fait oui.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
        static protected function haveNullByte($val){
 
    	   if(preg_match('~(%00|0x00|\\0)~',$val))
    	  	return TRUE;
 
         	return (strpos($val,"\0") === FALSE) ? FALSE : TRUE;
	}
 
 
 
	static protected function cleanNullByte($val){
		if(self::haveNullByte($val))
			return preg_replace('~(%00|0x00|\\0)~','_',str_replace("\0",'_',$val));
 
		return FALSE;
	}

Je ne sais plus de qui est ce code, un membre du forum (je m'excuse d'avance de ne pouvoir le citer), mais très efficace.

Ne pas oublier d'utiliser la fonction trim() de PHP qui est aussi bien pratique par moment.


Cordialement,

[zesavantfou]

je viens de tester sur ma methode de protection (que j'ai expliqué plus haut) un fichier null byte, et bien j'ai été soulager de savoirque ca marche pour ca aussi !
Mon script qu'on il a reçu un fichier fichier.php%00.jpg, a renommer et fait tout pour avoir au bout 1qd1q5d41q2zd1qz5d41q5.jpg tout court ! je suis soulagé XD

Par contre le seul hic que j'ai constaté c'est que je renomme avec un md5 de 10 caractères, la j'en ai eu un en 8 caractère (comme si le null byte a été soustrait du nom).

Mais bon je pense qu'il n'y a pas de danger puisque au bout j'ai un .jpg

[Inazo]

Oui la méthode de renommer permet de ne pas être gêné par le Null Bytes ou pas trop.

Par contre si tu devais conserver le nom du fichier... Il y a de gros risque. Ensuite le plus simple et de laisser l'utilisateur saisir le nom du fichier et de faire les vérifications nécessaires sur la chaîne fournis.

Par contre un md5 fait toujours 32 caractères à moins que tu l'ais toi même coupé mais là tu t'exposes à avoir des noms non unique.

Cordialement,