mirror of
https://github.com/macintoshplus/doc-fr.git
synced 2026-03-29 04:12:21 +02:00
bd161849d5
git-svn-id: https://svn.php.net/repository/phpdoc/fr/trunk@260939 c90b9560-bf6c-de11-be94-00142212c4b1
105 lines
3.2 KiB
XML
105 lines
3.2 KiB
XML
<?xml version="1.0" encoding="iso-8859-1"?>
|
|
<!-- $Revision: 1.14 $ -->
|
|
<!-- EN-Revision: 1.5 Maintainer: yannick Status: ready -->
|
|
<!-- Reviewed: no -->
|
|
|
|
<chapter xml:id="security.variables" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Données transmises par les internautes</title>
|
|
<para>
|
|
Les plus grandes faiblesses de nombreux programmes PHP ne viennent pas
|
|
du langage lui-même, mais de son utilisation en omettant les
|
|
caractéristiques de sécurité. Pour cette raison,
|
|
vous devez toujours prendre le temps de prendre en compte les implications
|
|
d'une fonction, et de cerner toutes les applications d'une utilisation
|
|
exotiques des paramètres.
|
|
<example>
|
|
<title>Utilisation dangereuse de variables</title>
|
|
<programlisting role="php">
|
|
<![CDATA[
|
|
<?php
|
|
// efface un fichier à la racine d'un utilisateur... ou peut être
|
|
// de quelqu'un d'autre?
|
|
unlink($evil_var);
|
|
// Note l'accès de ce fichier ... ou pas?
|
|
fputs($fp, $evil_var);
|
|
// Exécute une commande triviale... ou ajoute une entrée dans /etc/password ?
|
|
system($evil_var);
|
|
exec($evil_var);
|
|
?>
|
|
]]>
|
|
</programlisting>
|
|
</example>
|
|
</para>
|
|
<para>
|
|
Il est vivement recommandé d'examiner minutieusement votre code
|
|
pour vous assurer qu'il n'y a pas de variables envoyées par le
|
|
client web, et qui ne sont pas suffisamment vérifiées avant utilisation.
|
|
<itemizedlist>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script n'affectera que les fichiers prévus?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-il possible que des valeurs incohérentes soient exploitées ici?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script peut être utilisé dans un but différent?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que ce script peut être utilisé malicieusement,
|
|
en conjonction avec d'autres?
|
|
</simpara>
|
|
</listitem>
|
|
<listitem>
|
|
<simpara>
|
|
Est-ce que toutes les actions seront notées?
|
|
</simpara>
|
|
</listitem>
|
|
</itemizedlist>
|
|
</para>
|
|
<para>
|
|
En répondant de manière adéquate à ces questions
|
|
lors de l'écriture de vos scripts (plutôt qu'après), vous
|
|
éviterez une réécriture inopportune pour raison de
|
|
sécurité. En commençant vos projets avec ces recommandations
|
|
en tête, vous ne garantirez pas la sécurité de votre
|
|
système, mais vous contribuerez à l'améliorer.
|
|
</para>
|
|
<para>
|
|
Vous pouvez aussi envisager de supprimer l'acquisition automatique des
|
|
variables d'environnement, les guillemets magiques (magic_quotes),
|
|
ou encore toute option qui pourrait vous conduire à vous tromper sur
|
|
la validité, la source ou la valeur d'une variable. En travaillant avec
|
|
error_reporting(E_ALL), vous pouvez être averti que certaines variables
|
|
sont utilisées avant d'être exploitées, ou
|
|
vérifiées (et donc, vous pourrez traiter des valeurs exotiques
|
|
à la source).
|
|
</para>
|
|
</chapter>
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"../../manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
--> |