Discussion :

[pierre50]

Je pense avoir compris ce qu'est une faille XSS
Cependant soit l'URL suivante que je tape dans la barre d'adresse (ID est un entier)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
http://localhost/test.php?ID="?><script 
type="text/javascript">alert('Faille XSS !')&lt;script&gt;

Corrigez moi sur le traitement à apporter
Pour éviter cette faille, je dois au début de mon script test.php

1) récupérer la variable ID
2) la traiter avec htmlspecialchars
3) rebatir l'url et renvoyer la page une seconde fois

Est-ce bien la méthode ? (c'est le renvoi de la page une seconde fois qui m'interpelle ....

Merci à tous

[gene69]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

?>

ça marche pas comme xss. sauf si tu fabriques tes fichiers php à la volée puis que tu les compile... c'est assez rare.

Ce qu'il faut c'est lorsque tu affiches dans du html le contenu de variable (issu d'une base de donnée ou d'une saisie utilisateur ), c'est un htmlspecialchar(). On est d'accord. Il n'y a plus de risque de balise (au sens html) indésirable parce que tous les < seront remplacé par des &gt; .

Bon, après si tu as besoin d'avoir de la mise en forme, soit tu passes par du bbcode soit tu fais une liste de balises autorisées (em, strong, i, u, ... ) et via des expressions régulieres tu supprime tout ce qui n'est pas autorisé.

Une fois que ceci est dit, il faut le faire avec méthode pour ne le faire qu'une fois ( protection de l'affichage ou/et protection des entrée )

normalement tu dois pourvoir traiter une donnée

ID=fjdlkdsjflksdjl<script>demoniaque()</script>

sans avoir à recharger ta page. ta couche de validation & nettoyage des données ne devrait pas demander un rechargement de la page. Eventuellement tu peux demander à l'utilisateur de resaisir, mais sinon...

[pierre50]

Merci pour le coup de pouce.

Donc, pour gérer l'eventuelle présence de script incorporé dans l'URL pour ma variable ID, je peux simplement coder en début de mon fichier test.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if (intval($_GET['ID'])<>$_GET['ID']) {
     header("Location:erreur.php");
};
 
.... suite du programme

J'éjecte l'utilisateur de test.php et l'expédie vers erreur.php
C'est bien cela ?

[gene69]

oui tu pourrais faire ça. sans enthousiasme. La page d'erreur c'est l'arme atomique en terme de navigation web, remettre le formulaire avec des explications c'est plus gentil.

bon, je te ferai pas de remarque sur ta notation très SQL de la différence, bien loin de la syntaxe officielle... d'autant que "0" == 0 est vrai en php ainsi que "0" !== 0.

un petit truc cependant. Généralement avec les superglobale, il vaut mieux faire un ISSET() ou un EMPTY() dessus avant pour savoir si elles sont définies... si tu attends des entiers qui peuvent être nuls attention à la remarque précédente. Ya des subtiles différence entre isset() et empty() que je te laisse découvrir.