[gull] Questions sur requête SQL intégrée dans php
Rafael Muñoz Moreno-Davila
rmmd at t-d-e.org
Thu Apr 13 09:43:23 CEST 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hello,
Merci pour vos suggestions.
Je m'appretait a les essayer quand quelque chose que je ne comprend pas
est arrivé.
Sans rien changé, maintenant lorsque je fais l'appel a mon fichier
depuis ma forme ça me dis que le fichier n'existe pas. Alors qu'il y
est, vu que hier ça fonctionnais... (en tout cas cette partie là).
Une idée?
Pour répondra a marc, $page vient de $PHP_SELF.
Et pour le while je pensais a:
while ($value != FALSE)
{
code
}
Désolé si ça semble un peu "newbie" comme questions, mais ça fait
lontemps que je n'ai plus programmé....
A toute.
Marc SCHAEFER a écrit :
> On Wed, Apr 12, 2006 at 10:52:38PM +0200, Rafael Muñoz Moreno-Davila wrote:
>> $page = $_SERVER['PHP_SELF'];
>
> je ne connais pas exactement la façon dont PHP gère les problèmes de
> data injection / cross-scripting. Il y a des trucs `magiques' qui sont
> très déroutants et parfois non corrects.
>
> En supposant que $page vient des données utilisateurs du FORM (POST) ou
> d'un GET, et en supposant que PHP n'a pas d'auto-bricolage avec (en
> bref: que la donnée est *déjà* décodée), il faudrait, avant de faire ça:
>
>> echo "<input name=\"Page\" value=\"$page\" type=\"hidden\">";
>
> protéger $page.
>
> Si $page est censé être un nombre, en Perl il suffirait de faire
> $page = $page + 0. On pourrait aussi imaginer vérifier avec une regexp
> comme $page =~ /^\d+$/.
>
> Enfin, on peut aussi assurer que $page ne contiendra pas d'entities, ce
> qui éviterait p.ex. que $page soit "\"><IMG SRC=\"...\"/>\"; ou quelque
> chose de ce genre.
>
> En Perl, le plus simple est d'utiliser URI::Escape ou HTML::Entities,
> suivant le contexte.
>
> PS: le même problème se pose dans l'accès à la base de données, la
> solution est dans ce cas l'escaping, ou, encore mieux, le `binding', cf
> http://cvs.alphanet.ch/cgi-bin/cvsweb/~checkout~/schaefer/public/cours/ESNIG/securite/cours/echanges/securite-devel/RELEASES/securite-devel.ps.3.pdf?rev=HEAD;content-type=application%2Fpdf
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFEPgEbtsFe7lci6uIRAjLQAJ4wtj0cSqVdIi/TcV/AyXORtIUpNgCfSvsR
iCexxb4yNrhXzZ6M47GN4MQ=
=qyHK
-----END PGP SIGNATURE-----
More information about the gull
mailing list