PHP et la sécurité Faire un script en php est rapide y include des trous de sécurité encore plus.
Je vais tenter de lister ici les trous les plus courants.
choix des pages
vos jolies pages répondent à
index.php?page=intro
index.php?page=superjeu
dans votre index.php il ne faut pas
include("$p.php"];
il serait trop simple de taper index.php?page=../ficherconfig ou index.php?page=admin
Solution 1
Créer un switch avec une valeur bidon de p
swicth($page)
{
case"toto";
include("include/toto.php");
break;
case"toto2";
include("include/accueil.php");
break;
// etc etc
}
Solution 2
Créer un switch mais en vérifiant
$page avec l'include
swicth($page)
{
case"toto";case"toto2";case"toto3";case"toto4";case"toto5";
include("include/$p.php");
break;
default:
include("include/accueil.php");
break;
}
par jouer.org
dernière mise à jour:11/05/2005