Question de sécurité avec $_POST

JulioBox · 16-07-2009 14:42:35

Bonjour
J'ai fait un système simple de loggin/pass, je ne désire pas le changer, juste savoir si c'est sécurisé ou pas, si non, merci de m'indiquer la faille et si elle est grande/dangereuse et si un utilisateur peut vraiment faire des choses (même avec WebDeveloppeur, l'addon de firefox par exemple). Si oui c'est sécu alors tant mieux :)

Voici le code important :

<?php 

require("config.inc.php"); 

$logginok=0; 

if (isset($_POST['submit'])) 

{ 

 for ($i=0;$i<sizeof($users);$i++) 

 { 

  if ($users[$i]==$_POST['username'] && $passw[$i]==$_POST['password']) 

  { 

   $logginok=1; 

  } 

 }

 if ($logginok==1)

 {

 ...// actions admin ici 

 }

}

...

?>

config.inc.php contient :

<?php

...

 $users[0]="defaultname"; 

 $passw[0]="defaultpass";

 $users[1]="defaultname2";  

 $passw[1]="defaultpass2";

?>

Bien sur le tout derrière un formulaire !

<form name="monform" method="post" action="<?php echo $_SERVER['PHP_SELF'] ;?>"> 

 <label id="username">Nom</label><br /> 

 <input type="text" name="username"><br /> 

 <label id="password">Pass</label><br />

 <input type="password" name="password"><br> 

 <input type="submit" name="submit" value="Entrer"> 

</form>

Merci d'avance à tous !

mcAllan · 17-07-2009 08:21:45

Salut,

Vaste sujet...

La règle c'est que $_POST venant de l'utilisateur, celui-ci peux contenir tout et n'importe quoi mais surtout des choses malveillantes.
Donc il faut contrôler ces données en fonction de leur utilisation.

Dans ton cas, tu n'intègre pas $_POST dans une requête SQL donc tu ne crains pas d'injection SQL, tu ne l'affiche pas non plus dons pas de risque XSS, tu ne l'utilise pas dans un mail donc pas de risque non plus de ce coté là.

Tu le compare à d'autres valeurs (qui elles sont sures apparemment) mais tu fait tu fait une comparaisons des valeurs uniquement ( == ) or si $_POST['username'] et $_POST['password'] ont la valeur "TRUE" d'assignée, le test sera bon... !!

Il est donc mieux de faire une comparaison de valeur et de type :

if ($users[$i] === $_POST['username'] && $passw[$i] === $_POST['password'])

De plus une vérification par !empty des deux valeurs sera mieux qu'un simple isset.

if (!empty($_POST['submit']) && !empty($_POST['password'])

Reste quand même qu'apparemment le pass n'est pas hashé et est passé en clair donc il peut être intercepté.

Voila ce que je peux en dire au vue de cette portion de code.

A+

JulioBox · 17-07-2009 08:24:42

Merci pour cette réponse, j'ai essayé en mettant "TRUE" mais ça ne passe pas ! OUF ! J'imagine que le php compare "TRUE" en tant que chaine et non booleen.
edit : j'ai laissé == pour le moment.

Dernière modification par JulioBox (17-07-2009 08:26:13)

mcAllan · 17-07-2009 08:36:03

teu teu teu...

Sur que si tu as mis TRUE dans le champs input, a l'arrivée ce sera une chaine de caractères contenant "true".
Mais il y a d'autres moyens de balancer un véritable TRUE dans $_POST.
... C'est toi qui vois ...

JulioBox · 17-07-2009 08:37:28

o_O je peux balancer un TRUE dans un $_POST sans passer par le INPUT ? C'est quoi ce truc

mcAllan · 17-07-2009 08:41:05

Il est tout à fait possible d'envoyer des $_POST sans utiliser de formulaire !
Mais c'est une autre histoire...

JulioBox · 17-07-2009 08:46:30

J'aime les histoires, et celle-ci m'intéresse afin d'éviter d'autres erreurs de sécurité, je vais donc mettre === mais j'aimerais tout de même en savoir plus sur cet envoie de $_POST. On dirait que tu essaies d'éviter d'en parler, est-ce un secret défense ?

mcAllan · 17-07-2009 09:01:46

est-ce un secret défense ?

Oui c'est pour éviter l'invasion Russe...

JulioBox · 17-07-2009 09:24:29

Non mais je suis sérieux, ya pas un MP possible ? Un mail ? J'ai pas envie de rester dans l'ignorance, savoir que ça, ça existe, que mon == pouvait être dangereux et ne pas savoir, je vais mal dormir pendant 10 ans là Alain !

mcAllan · 17-07-2009 10:01:01

Cela n'est quand même pas si simple et je n'ai pas envie de m'étaler sur ce sujet qui dépasse quand même le cadre d'un forum pour débutant.
Tu peux cependant te documenter sur les headers HTTP (en php ou pas d'ailleurs).

JulioBox · 17-07-2009 10:16:36

okok je vais acheter des somnifères alors ...
Merci pour tout le reste

Dernière modification par JulioBox (17-07-2009 10:54:10)

JulioBox · 17-07-2009 10:54:18

J'ai trouvé comment envoyer du POST sans formulaire MAIS je ne peux tout de même pas envoyer de TRUE, en tout cas, ça ne fonctionne tout de même pas...
Vite fait testé avec :

$req = "username=".TRUE."&password=".TRUE;

et

$req = "username=TRUE&password=TRUE";

> edit : l'url passée est en fait : &username=1&password=1 DONC je me demande vraiment si c'est possible de passer TRUE
Rien ne fonctionne :]
Une idée Alain pour faire passer ce TRUE correctement ?
Sinon il me semble qu'on ne peut pas passer de TRUE validé avec un == de cette manière.
Merci

Dernière modification par JulioBox (17-07-2009 11:37:58)

mcAllan · 17-07-2009 12:30:09

Sinon il me semble qu'on ne peut pas passer de TRUE

Si tu le dis...

Une idée Alain pour faire passer ce TRUE correctement ?

Non car je n'ai jamais eu à le faire, mais il y a tellement de façons de procéder, et j'ai pas envie de chercher.

Si tu ne veux pas utiliser === libre à toi, mais c'est une sécurité supplémentaire qui ne coute rien.

Comme je te l'ai déjà dis, c'est toi qui voie.

JulioBox · 17-07-2009 13:02:17

C'est pas "Si je le dis", je viens de tester et sans le bon pass/user on ne passe pas malgré le ==, je vais TOUT DE MEME mettre === mais voilà...
Tu me dis une chose, je le test et ça ne fonctionne quand même pas. Peut etre une configuration/option de php5 fait que ... aucune idée.
Bref, si quelqu'un sait passer un TRUE pour que la faille fonctionne, qu'il se manifeste, mon script reste donc blindé malgré sa simplicité !

PHP|Débutant :: Forums

Advertisement

#1 16-07-2009 14:42:35

Question de sécurité avec $_POST

#2 17-07-2009 08:21:45

Re : Question de sécurité avec $_POST

#3 17-07-2009 08:24:42

Re : Question de sécurité avec $_POST

#4 17-07-2009 08:36:03

Re : Question de sécurité avec $_POST

#5 17-07-2009 08:37:28

Re : Question de sécurité avec $_POST

#6 17-07-2009 08:41:05

Re : Question de sécurité avec $_POST

#7 17-07-2009 08:46:30

Re : Question de sécurité avec $_POST

#8 17-07-2009 09:01:46

Re : Question de sécurité avec $_POST

#9 17-07-2009 09:24:29

Re : Question de sécurité avec $_POST

#10 17-07-2009 10:01:01

Re : Question de sécurité avec $_POST

#11 17-07-2009 10:16:36

Re : Question de sécurité avec $_POST

#12 17-07-2009 10:54:18

Re : Question de sécurité avec $_POST

#13 17-07-2009 12:30:09

Re : Question de sécurité avec $_POST

#14 17-07-2009 13:02:17

Re : Question de sécurité avec $_POST

Pied de page des forums