mirror of
https://github.com/macintoshplus/doc-fr.git
synced 2026-03-24 17:02:18 +01:00
106 lines
3.6 KiB
XML
106 lines
3.6 KiB
XML
<?xml version="1.0" encoding="utf-8"?>
|
|
<!-- $Revision$ -->
|
|
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: yannick Status: ready -->
|
|
<!-- Reviewed: yes Maintainer: pmartin -->
|
|
|
|
<chapter xml:id="security.variables" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Données transmises par les internautes</title>
|
|
<para>
|
|
La plus grande faiblesse de nombreux programmes <acronym>PHP</acronym> ne vient pas
|
|
du langage en lui-même, mais de son utilisation en omettant les
|
|
caractéristiques de sécurité. Pour cette raison,
|
|
vous devriez toujours prendre le temps de réfléchir aux implications
|
|
d'une portion de code donnée, pour mesurer les éventuels dommages
|
|
qui pourraient être causés si une variable inattendue lui était passée.
|
|
<example>
|
|
<title>Utilisation dangereuse de variables</title>
|
|
<programlisting role="php">
|
|
<![CDATA[
|
|
<?php
|
|
// efface un fichier à la racine d'un utilisateur... ou peut être
|
|
// de quelqu'un d'autre?
|
|
unlink($evil_var);
|
|
// Note l'accès de ce fichier ... ou pas?
|
|
fputs($fp, $evil_var);
|
|
// Exécute une commande triviale... ou ajoute une entrée dans /etc/password ?
|
|
system($evil_var);
|
|
exec($evil_var);
|
|
?>
|
|
]]>
|
|
</programlisting>
|
|
</example>
|
|
</para>
|
|
<para>
|
|
Il est vivement recommandé d'examiner minutieusement votre code
|
|
pour vous assurer qu'il n'y a pas de variable envoyée par le
|
|
client web qui ne soit pas suffisamment vérifiée avant utilisation,
|
|
en vous posant les questions suivantes :
|
|
<itemizedlist>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script n'affectera que les fichiers prévus ?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-il possible que des valeurs incohérentes ou inattendues soient exploitées ici ?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script peut être utilisé dans un but différent de celui attendu ?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script peut être utilisé malicieusement,
|
|
en conjonction avec d'autres ?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que toutes les actions seront correctement historisées ?
|
|
</simpara>
|
|
</listitem>
|
|
</itemizedlist>
|
|
</para>
|
|
<para>
|
|
En répondant de manière adéquate à ces questions
|
|
lors de l'écriture de vos scripts (plutôt qu'après), vous
|
|
éviterez une réécriture inopportune lorsque vous aurez besoin d'améliorer leur
|
|
sécurité. En commençant vos projets avec ces recommandations
|
|
en tête, vous ne garantirez pas la sécurité de votre
|
|
système, mais vous contribuerez à l'améliorer.
|
|
</para>
|
|
<para>
|
|
Vous pouvez aussi envisager de supprimer l'acquisition automatique des
|
|
variables (register_globals), les guillemets magiques (magic_quotes),
|
|
ou encore toute option qui pourrait conduire à vous tromper sur
|
|
la validité, la source, ou la valeur d'une variable. Travailler avec
|
|
<acronym>PHP</acronym> en mode error_reporting(E_ALL), peut aussi vous aider à
|
|
détecter que certaines variables sont utilisées avant d'être exploitées ou
|
|
initialisées (pour que vous puissiez empêcher l'utilisation de données inattendues).
|
|
</para>
|
|
</chapter>
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
-->
|