Vision du web. La réponse collaborative.

Gagner des Bitcoins.

Le HackerSpace Vision du web.
La réponse collaborative.
Le glider des Hackers.
Un symbole de rassemblement.
QWERTY.
Du clavier au terminal.
GNU / Linux Debian.
La distribution universelle.
GNU / Linux Ubuntu.
Linux pour les êtres humains.
GNU / Linux Arch.
Un Linux léger et flexible.
Nom de code Linux.
Documentaire FR.

Vous n´êtes pas identifié(e).

Nous sommes le lundi 18 février 2019. Il est .

Nous avons 144 invités et aucun membre en ligne

 
HackerSpace !
× Ressources PHP.

PHP et la sécurité avec GET et POST

  • VisionDuWeb
  • Portrait de VisionDuWeb Auteur du sujet
  • Hors Ligne
  • Modérateur
  • Modérateur
  • Animateur.
Plus d'informations
il y a 3 ans 10 mois #519 par VisionDuWeb
VisionDuWeb a créé le sujet : PHP et la sécurité avec GET et POST
L'utilisation de $_REQUEST n'est pas cohérente avec celle de l'extension "filter", ou toute autre technique de filtrage et de validation.
C'est une énorme faille de sécurité.

En effet, si l'on tient à sécuriser les données issues des clients HTTP, ce qui est hautement conseillé, on considérera également qu'il convient de tester leur méthode d'envoi, par GET ou par POST.

Voir à ce sujet les recommandations de l'OWASP ( www.owasp.org ).

Avis relevés
- filter n'est vraiment pas assez utilisé
- les heredoc ne sont pas assez utilisés
- Ensuite on peut bien sûr améliorer la sécurité avec un système de jeton

La sécurité est un ensemble de bonnes pratiques.
Par exemple, pour supprimer un article, il est souhaitable que le paramètre conduisant à la suppression ne puisse pas être considéré s'il est un HTTP GET. Sinon, un lien dans un courriel frauduleux, ou dans un site piégé, pourrait conduire à des suppressions ciblées. C'est le genre de trous qui sont
souvent présents dans les panels d'administration. On considère que puisqu'il y a un cookie, la requête est légitime, alors que non.

Si la sécurité d'une application est uniquement basée sur le fait que c'est un GET plutôt qu'un POST ou le contraire, alors cette application n'a aucune réelle mesure de sécurité.

Les personnes qui pensent corriger un problème de sécurité en changeant un GET par un POST ne comprennent en général pas grand chose au réel problème de sécurité sous-jacent.

Vision du web. La réponse collaborative.

Connexion ou Créer un compte pour participer à la conversation.

REMARQUE ! Ce site utilise des cookies et autres technologies similaires. Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord.

Vision du web est disponible en version Beta 2019 depuis l'adresse www.visionduweb.fr En savoir plus

J'ai compris

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de Cookies pour vous proposer un accès membre personnalisé et réaliser des statistiques de visites.

Découvrez la version BETA 2019 de Vision du web sur https://www.visionduweb.fr