Protection de variable PHP

20 févr. 2009, 15:19

Hej !

Mon serveur a été bloqué par mon hébergeur (1&1), parce que la structure index.php (plus précisément la variable $page), n'est pas sécurisée et qu'on s'amuse à envoyer un grand nombre de spam via ce site...

J'ai eu beau chercher sur le net une quelconque protection, je n'ai rien trouvé. Pour le moment je n'ai rien mis en ligne, ça ne va aider personne mais si vous avez déjà eu ce genre de soucis... Je suis preneur d'idées !

20 févr. 2009, 15:27

Bonjour,

Il faut absolument contrôler le contenu des variables qui viennent de l'extérieur de ton script avant de les utiliser.

Voici ce que tu fais :

<?php
include($_GET['page']); // C'est mal !

Voici ce que tu pourrais faire à la place :

<?php
if(strpos($_GET['page'],'/')===false) include($_GET['page']);
else include('erreur.php'); // Si notre variable contient un caractère interdit, on envoie sur une page d'erreur

20 févr. 2009, 15:29

Salut,

L'autre astuce est de switcher ta variable.

Mega

20 févr. 2009, 17:14

Merci pour vos réponses rapides ! Qu'entends-tu Megadeth par switcher la variable ? Je me permet de vous montrer ma page index.php, je débute dans le milieu donc si vous avez 2min pour jeter un coup d'oeil, ça serait vraiment sympa !

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Alice Locoge</title>

<link rel="stylesheet" type="text/css" href="css/style.css" />
<link rel="stylesheet" type="text/css" href="css/lightbox.css" />





<script type="text/javascript" src="js/motiongallery.js"></script>
<script type="text/javascript" src="js/prototype.js"></script>
<script type="text/javascript" src="js/scriptaculous.js?load=effects,builder"></script>
<script type="text/javascript" src="js/lightbox.js"></script>

<script type="text/javascript">

</script>

<style type="text/css">
#conteneur{
margin-left:auto;
margin-right:auto;
width:781px;
height:515px;

<?php if(isset($_GET['page'])) {
$monFond = $_GET['page'];
}
else {
$monFond = 'nomimage';
}
?>

background-image:url(./images/<? echo $monFond; ?>.gif);
background-repeat: no-repeat;

}

body {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 10px;
color:#FFFFFF;
background-color:#000000;
background-attachment: scroll;
background-repeat: repeat-x;
background-position: left top;
}
</style>

</head>

<body>
<script language="JavaScript">
<!--
function makevisible(cur,which) { if(document.getElementById) {
if (which==0) { if(document.all) { cur.filters.alpha.opacity=100 } else { cur.style.setProperty("-moz-opacity", 1, ""); } }
else { if(document.all) { cur.filters.alpha.opacity=80 } else { cur.style.setProperty("-moz-opacity", .8, ""); } } }
}

<?php if (!isset($_GET['page'])) $page= 'accueil'; else $page= $_GET['page'];
$page_min="album/".$page."/miniatures";
echo "dir_min = '$page_min'; ";
?>

nom_photo = new Array;
desc_photo = new Array;

/******
FONCTION POUR CHANGER LES PHOTOS
******/
function changeImage(nom_image)
{
document.image_dyn.src=""+dir_gran+"/"+nom_image + "";
}
<?
$a = 0;
$handle = opendir($page_min);
while (($file = readdir())!=false) {
clearstatcache();
if($file!=".." && $file!=".")
{
if(preg_match('/\.jpg$/', $file))
{
echo "nom_photo[$a] = '$file'; ";
$a++;
}
}
}
closedir($handle);
?>
//->
</script>

<div id="etres"><a href="index.php?page=etres&contenu=galerie" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('etres','','images/menu_etres.gif',1)"><img src="images/menu_etres_off.png" name="etres" width="90" height="350" border="0" id="etres2" /></a></div>

<div id="animaux"><a href="index.php?page=animaux&contenu=galerie" onmouseout="MM_swapImgRestore()" onmouseover="MM_swapImage('animaux','','images/menu_animaux.gif',1)"><img src="images/menu_animaux_off.png" name="animaux" width="90" height="350" border="0" id="animaux2" /></a></div>

<div id="conteneur">

<div id="centre">

<div id="menu">
<a href="index.php?page=accueil">accueil</a>
<a class="a0" href="index.php?page=parcours">parcours</a>
<a class="a0" href="index.php?page=agenda">agenda</a>
<a class="a0" href="index.php?page=contact">contact</a>
</div>

<div id="droite">

<?php if (!isset($_GET['contenu'])) $contenu= 'description'; else $contenu= $_GET['contenu'];
switch($page){
}

if ($contenu=='description'){
include ($page.'.html');
}
else if($contenu=='galerie'){
?>

<div id="motioncontainer">
<div id="motiongallery" style="position:absolute;left:0;top:0;white-space: nowrap;">
<nobr id="trueContainer">

<script type="text/javascript">
<!--
for(i=0;i<nom_photo.length;i++)
{
document.write("<a href=# rel=lightbox><img class=\"apercu\" name=\""+nom_photo+"\" src=\""+dir_min+"/"+nom_photo+"\" onMouseover=\"makevisible(this,0)\" onMouseout=\"makevisible(this,1)\" /></a>");
if(i!=nom_photo.length-1)
document.write("&nbsp&nbsp ");
}
//->
</script>
</nobr>
</div>
</div>

<? } ?>

</div>
</div>
</div>

</body>
</html>
Code : Tout sélectionner

22 févr. 2009, 22:32

Salut,

J'entends que ta variable ne peut prendre que quelques types de valeur et que toute autre valeur est comprise comme erronée.

Ci-dessous un exemple quand j'ai géré les langues pour un site.

$lang = $_GET["lang"];//je récupère la valeur lang de l'url
switch($lang) { //je teste la valeur
case "fr": echo "je fais ci"; break; 
case "en": echo "je fais ca"; break; 
default :header("Location: index.htm"); break;//tous les autres cas, tu éjectes ;) 
}

J'ai pas détaillé ton code, mais j'ai cru voir que le switch() était utilisé pour la variable $page.

A toi de jouer

Mega

Protection de variable PHP

Qui est en ligne