Vous êtes ici: Php.fr » php.fr » Chapitre 30. Données transmises par les internautes

Manuel PHP

Table des matières

Préface

I. Au moment de commencer

1. Introduction
2. Une introduction à PHP

II. Installation et configuration

3. Considérations générales sur l'installation
4. Installation sur les systèmes UNIX
5. Installation sur un système Mac OS X
6. Installation sur les système Windows
7. Installation d'extensions PECL
8. Des problèmes ?
9. Configuration

III. Référence du langage

10. La syntaxe de base
11. Les types
12. Les variables
13. Les constantes
14. Les expressions
15. Les opérateurs
16. Les structures de contrôle
17. Les fonctions
18. Les classes et les objets (PHP 4)
19. Les classes et les objets (PHP 5)
20. Les exceptions
21. Les références

IV. Sécurité

22. Introduction
23. Considérations générales
24. Binaires CGI
25. Installé en tant que module Apache
26. Sécurité des fichiers
27. Sécurité des bases de données
28. Rapport d'erreurs
29. Utilisation des variables super-globales
30. Données transmises par les internautes
31. Guillemets magiques
32. Masquer PHP
33. Être à jour

V. Caractéristiques

34. Identification HTTP avec PHP
35. Cookies
36. Sessions
37. Utiliser les XForms
38. Gestion des chargements de fichiers
39. Utilisation des fichiers à distance
40. Gestion des connexions
41. Connexions persistantes aux bases de données
42. Safe mode
43. Utiliser PHP en ligne de commande

VI. Référence des fonctions

I. Fonctions .NET
II. Fonctions Apache
III. Alternative PHP Cache
IV. Débogueur avancé pour PHP
V. Tableaux
VI. Aspell (Obsolète)
VII. Nombres de grande taille BCMath
VIII. Compilateur bytecode pour PHP
IX. Compression Bzip2
X. Calendrier
XI. Paiement CCVS (Obsolète)
XII. Classes et Objets
XIII. Fonctions Classkit
XIV. Fonctions ClibPDF

XV. COM et .Net (Windows)
XVI. Crack
XVII. Caractères
XVIII. CURL
XIX. Paiement Cybercash
XX. Fonctions Crédit Mutuel CyberMUT
XXI. Cyrus IMAP
XXII. Dates et heures
XXIII. Fonctions DB++
XXIV. DBA
XXV. dBase
XXVI. DBM (Obsolète)
XXVII. Fonctions dbx
XXVIII. Direct IO
XXIX. Accès aux dossiers
XXX. Fonctions DOM
XXXI. Fonctions DOM XML
XXXII. Fonctions enchant
XXXIII. Gestion des erreurs
XXXIV. EXIF
XXXV. Fonctions Expect
XXXVI. Fonctions de monitorage d'altération de fichiers
XXXVII. Forms Data Format
XXXVIII. Fonctions Fileinfo
XXXIX. Fonctions filePro
XL. Système de fichiers
XLI. Fonctions Filter
XLII. Fonctions Firebird/InterBase
XLIII. Fonctions Firebird/Interbase (PDO_FIREBIRD)
XLIV. Fonctions FriBiDi
XLV. FrontBase
XLVI. Fonctions FTP
XLVII. Fonctions
XLVIII. Fonctions GeoIP
XLIX. Gettext (GNU)
L. Fonctions GMP
LI. gnupg Fonctions
LII. Net_Gopher
LIII. Fonctions hash
LIV. HTTP
LV. Hyperwave
LVI. Hyperwave API
LVII. Fonctions IBM (PDO_IBM)
LVIII. Fonctions IBM DB2, Cloudscape et Apache Derby
LIX. ICAP
LX. Iconv
LXI. Fonctions ID3
LXII. Fonctions d'administration d'IIS
LXIII. Images
LXIV. Image magick Functions
LXV. IMAP
LXVI. Informix
LXVII. Fonctions Informix (PDO_INFORMIX)
LXVIII. Ingres II
LXIX. IRC
LXX. Intégration de Java avec PHP
LXXI. Fonctions JSON
LXXII. KADM5
LXXIII. LDAP
LXXIV. libxml
LXXV. Lotus Notes
LXXVI. Fonctions LZF
LXXVII. Mail
LXXVIII. Traitement d'email
LXXIX. Mathématiques
LXXX. MaxDB PHP Extension
LXXXI. MCAL
LXXXII. chiffrement mcrypt
LXXXIII. Fonctions de paiement MCVE (Monetra)
LXXXIV. Fonctions Memcache
LXXXV. Hash
LXXXVI. Fonctions Mimetype
LXXXVII. Ming pour Flash
LXXXVIII. Fonctions diverses
LXXXIX. mnoGoSearch
XC. Microsoft SQL Server
XCI. Microsoft SQL Server et Fonctions Sybase (PDO_DBLIB)
XCII. Sessions Mohawk
XCIII. mSQL
XCIV. Chaînes de caractères multi-octets
XCV. Fonctions muscat
XCVI. MySQL
XCVII. Fonctions MySQL (PDO_MYSQL)
XCVIII. Extension MySQL améliorée
XCIX. Fonctions de contrôle d'écran de terminal
C. Réseau
CI. Fonctions Newt
CII. Netscape Server API
CIII. agrégation d'objets/Composition de fonctions
CIV. Overload
CV. Fonctions Oracle
CVI. Fonctions ODBC (unifiés)
CVII. Fonctions ODBC et DB2 (PDO_ODBC)
CVIII. oggvorbis
CIX. Gestion Audio OpenAL
CX. OpenSSL
CXI. Oracle (Obsolète)
CXII. Fonctions Oracle (PDO_OCI)
CXIII. Bufferisation de sortie
CXIV. Ovrimos SQL
CXV. Accès aux fichiers Paradox
CXVI. Fonctions Parsekit
CXVII. Contrôle des processus
CXVIII. Expressions rationnelles compatibles Perl
CXIX. Fonctions PDF
CXX. Fonctions PDO
CXXI. Phar archive stream and classes
CXXII. Options PHP et informations
CXXIII. Fonctions POSIX
CXXIV. Expressions rationnelles
CXXV. PostgreSQL
CXXVI. Fonctions PostgreSQL (PDO_PGSQL)
CXXVII. Impression
CXXVIII. Exécution de programmes externes
CXXIX. Création de document PostScript
CXXX. Pspell
CXXXI. qtdom
CXXXII. Radius
CXXXIII. Rar
CXXXIV. Readline (GNU)
CXXXV. Recode (GNU)
CXXXVI. Fonctions Lecture d'En-tête RPM
CXXXVII. Fonctions runkit
CXXXVIII. SAM - Messagerie asynchrone
CXXXIX. Extension client Satellite CORBA (Obsolète)
CXL. SCA Functions
CXLI. Fonctions SDO
CXLII. Fonctions de Service d'Accès de Données SDO XML
CXLIII. Fonctions SDO Relationnel Service d'Accès de Données
CXLIV. Sémaphores et gestion de la mémoire partagée
CXLV. SESAM
CXLVI. Sauvegarde d'Identifiant de session PostgreSQL
CXLVII. Sessions
CXLVIII. Mémoire partagée
CXLIX. Fonctions SimpleXML
CL. Fonctions SNMP
CLI. Fonctions SOAP
CLII. Sockets
CLIII. Fonctions Standard PHP Library (SPL)
CLIV. Fonctions SQLite
CLV. Fonctions SQLite (PDO_SQLITE)
CLVI. Shell2 sécurisé
CLVII. Fonctions statistics
CLVIII. Flux

CLIX. Chaînes de caractères (Strings)
CLX. Shockwave Flash
CLXI. Sybase
CLXII. Fonctions TCP Wrappers
CLXIII. Tidy
CLXIV. Analyseur de code PHP
CLXV. Unicode Functions
CLXVI. URL
CLXVII. Fonctions de gestion des variables
CLXVIII. Paiement par Verisign
CLXIX. vpopmail
CLXX. API windows
CLXXI. WDDX
CLXXII. Fonctions win32ps
CLXXIII. Fonctions win32service
CLXXIV. Fonctions xattr
CLXXV. Fonctions xdiff
CLXXVI. Analyseur syntaxique XML
CLXXVII. XML-RPC
CLXXVIII. XMLReader functions
CLXXIX. Fonctions XMLWriter
CLXXX. XSL
CLXXXI. XSLT
CLXXXII. YAZ
CLXXXIII. NIS
CLXXXIV. Fonctions ZIP
CLXXXV. Compression Zlib

VII. PHP et le moteur interne Zend

44. Streams API for PHP Extension Authors
45. PDO Driver How-To
46. API Zend : Modification du coeur de PHP
47. TSRM API
48. Extending PHP 3

VIII. FAQ : foire Aux Questions

49. Informations générales
50. Listes de diffusions
51. Obtenir PHP
52. Considérations sur les bases de données
53. FAQ sur l'installation
54. Problèmes de compilation
55. Utiliser PHP
56. PHP et HTML
57. PHP et COM
58. PHP et les autres langages
59. Migrer de PHP 2 à PHP 3
60. Migrer de PHP 3 à PHP 4
61. Migration de PHP 4 à PHP 5
62. Questions diverses

IX. Annexes

Remerciements

Chapitre 30. Données transmises par les internautes

Les plus grandes faiblesses de nombreux programmes PHP ne viennent pas du langage lui-même, mais de son utilisation en omettant les caractéristiques de sécurité. Pour cette raison, vous devez toujours prendre le temps de prendre en compte les implications d’une fonction, et de cerner toutes les applications d’une utilisation exotiques des paramètres.

Exemple 30-1. Utilisation dangereuse de variables

<?php
// efface un fichier à la racine d'un utilisateur... ou peut être
// de quelqu'un d'autre?
  unlink($evil_var);
// Note l'accès de ce fichier ... ou pas?
  fputs($fp, $evil_var);
// Exécute une commande triviale... ou ajoute une entrée dans /etc/password ?
  system($evil_var);
  exec($evil_var);
?>

Il est vivement recommandé d’examiner minutieusement votre code pour vous assurer qu’il n’y a pas de variables envoyées par le client web, et qui ne sont pas suffisamment vérifiées avant utilisation.

Est-ce que ce script n’affectera que les fichiers prévus?
Est-il possible que des valeurs incohérentes soient exploitées ici?
Est-ce que ce script peut être utilisé dans un but différent?
Est-ce que ce script peut être utilisé malicieusement, en conjonction avec d’autres?
Est-ce que toutes les actions seront notées?

En répondant de manière adéquate à ces questions lors de l’écriture de vos scripts (plutôt qu’après), vous éviterez une réécriture inopportune pour raison de sécurité. En commençant vos projets avec ces recommandations en tête, vous ne garantirez pas la sécurité de votre système, mais vous contribuerez à l’améliorer.

Vous pouvez aussi envisager de supprimer l’acquisition automatique des variables d’environnement, les guillemets magiques (magic_quotes), ou encore toute option qui pourrait vous conduire à mésévaluer la validité, la source ou la valeur d’une variable. En travaillant avec error_reporting(E_ALL), vous pouvez être averti que certaines variables sont utilisées avant d’être exploitées, ou vérifiées (et donc, vous pourrez traiter des valeurs exotiques à la source).

Travail collaboratif

Contribuez, en ajjoutant des elements a cette page de manuel :

Merci de votre aide
L’equipe Php.fr

Données transmises par les internautes (Discussion )

Données transmises par les internautes

Index | Afficher le texte source | Anciennes révisions | Derniers changements | Connexion

©2007 Wiki Copyright