Discussion :

[psychoBob]

Bonjour,

Comme registar global est � on chez ovh, je dois faire tr�s attention � bien initialiser mes variables, si j'ai bien tout compris.

J'ai donc deux questions th�oriques tr�s simples :

1) Une variable transmise par un formulaire se r�cup�re-t'elle en faisant $_GET['variable'] ou $_POST['variable'].
2) Une variable transmise par une session utilisant l'url et non les cookies se r�cup�re-t'elle uniquement en faisant $_SESSION['variable'] ?
Peut-on faire autrement (et mieux du point de vue de la s�curit�) ?
Est-ce redoutable de commettre la chose suivante :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

$_SESSION['variable']=$_GET['$_SESSION['variable']]

(Oui je sais c'est compl�tement c.. comme id�e, mais bon vous savez ce que c'est quand on se r�veil la t�te sur le clavier et qu'on s'endort dessus...)


Voil�, ce sont des simples mais qui me turlupinent, merci d'avance pour vos informations.

[Mr N.]

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

Une variable transmise par un formulaire se récupère-t'elle en faisant $_GET['variable'] ou $_POST['variable'].

Si ton formulaire utilise la m�thode get => $_GET
Si ton formulaire utilise la m�thode post => $_POST
Si tu sais pas ou si tu es feignant => $_REQUEST

[psychoBob]

Ok pour $_POST[] et $_Get[].
Pour $_REQUEST, je viens de lire qu'il ne faut pas l'utiliser.

Reste mon doute omnipr�sent concernant $_SESSION['variable'] (mes variables circulent dans l'url, masqu�es, je pr�cise � tout hasard) :

Je r�ceptionne une variable de session en faisant echo $_SESSION['variable']. Si je l'ins�re dans une requ�te sql, je l'ins�re comme suit '".$_SESSION['variable']."', �a fonctionne (je sais plus pour les "' j'ai plus le code sous les yeux).
Mais le hacker peut-il traficoter la variable ?
Dois-je quand m�me faire $_SESSION['variable']= mysql_real_escape_string(htmlspecialchars($_SESSION['variable'])) avant de les utiliser ?

- une autre question aussi � propos de register_global on : le risque ne porte que sur les variables r�ceptionn�es par session ou formulaire, c'est bien cela ?
- Il faut donc faire comme dit ici, par exemple $variable=$_GET['variable'] avant de les utiliser dans un script, c'est bien ?
- Une variable transmise dans l'url d'un lien de confirmation exp�di�e par email se r�ceptionne avec $_GET ou $_POST ?
- Il doit bien y avoir une r�gle � piger qui r�gie tout �a non ?

[Mr N.]

Ok pour $_POST[] et $_Get[].
Pour $_REQUEST, je viens de lire qu'il ne faut pas l'utiliser.

Chacun fais comme il veut. Je suis feignant et je m'arrange pour ne pas avoir de conflit de nom entre cookies,get et post => donc j'utilise _REQUEST

Mais le hacker peut-il traficoter la variable ?

Dans un premier temps je dirais non. Mais si les variables de session sont stock�es dans un cookies alors oui. Le truc que je sais pas, c'est si $_SESSION va chercher dans les cookies ou si on est oblig� de passer par $_COOKIES. J'ai un doute l� dessus.
Mais en r�gles g�n�ral, et chez ovh, les sessions sont stock�es sur le serveur, donc si toi tu mets une valeur saine, elle ne peut �tre trafiqu�e, pour peu que le serveur soit lui meme blind�.

- une autre question aussi � propos de register_global on : le risque ne porte que sur les variables r�ceptionn�es par session ou formulaire, c'est bien cela ?

Que les formulaires + url + cookies.

- Il faut donc faire comme dit ici, par exemple $variable=$_GET['variable'] avant de les utiliser dans un script, c'est bien ?

Ou utiliser directement $_GET['variable']

- Une variable transmise dans l'url d'un lien de confirmation exp�di�e par email se r�ceptionne avec $_GET ou $_POST ?

La r�ponse est dans la question. url = get

[psychoBob]

Impec, merci Mr N.