PHPfrance

la communauté d'entraide francophone dédiée au PHP

[cakePHP] La sécurité dans CakePHP

6 messages   •   Page 1 sur 1
   Outils de sujet
BaLiSTiK
Eléphant du PHP | 398 Messages

08 juil. 2010, 09:52

Bonjour,
A mon travail nous utilisons le framework CakePHP pour nos applis. Hier avec un collègue, on a réussi à faire du XSS très facilement dans nos formulaires (l'acces aux applications est interne aux clients mais bon), en rajoute un simple :

Code : Tout sélectionner

<script> document.location = 'http://www.google.fr'; </script>
dans un champs commentaires. Et en allant sur la page d'affichage des données, ça nous redirigeait vers Google.

La seule solution qu'on a trouvé à la vas-vite est de faire un htmlentities() sur tous nos champs mais vu le nombre de formulaire, ça s'annonce très fastidieux (mais ça règle le problème ^^).

En cherchant dans le CookBook, j ai vu qu'il existant un composant "Security" mais je ne comprends pas trop sa mise en place.
Doc : http://book.cakephp.org/fr/view/324/The ... -Component

Si il y a des gens ayant été confronté à ce soucis, pourriez-vous m'éclaircir un peu sur la marche à suivre ?

Cdlt :).
----------------------------------------------------------------------------------
https://astro-otter.space - Discover wonders and mysteries of Universe
julot974
Invité n'ayant pas de compte PHPfrance

12 juil. 2010, 10:02

Je te conseille de reposer la question sur le forum CakePHP-fr.
Mammouth du PHP | 661 Messages

12 juil. 2010, 16:35

salut :: je ne suis pas développeur cake, mais mais il semblerait que la classe Sanitize appelée à l'aide de beforeSave soit une piste non ?

tiens nous au courant ;)
Eléphant du PHP | 398 Messages

22 juil. 2010, 10:43

Nours312 : avec Cake 1.3 c'est effectivement une solution très interessante, je vais en parler avec mes collègues mais en ce qui concerne mon appli, elle est basée sur Cake 1.1 (car ça fais un moment que le projet est lancé...un tres long moment...bref) et il n'a pas la méthode beforeSave() mais la classe Sanitize existe elle par contre. Donc je vais voir si y a moyen de l utiliser :).
----------------------------------------------------------------------------------
https://astro-otter.space - Discover wonders and mysteries of Universe
Petit nouveau ! | 1 Messages

19 août 2015, 01:43

bonsoir moi je travaille avec calephp2.6 et j m interroge sur sa securité ! est ce qu il est protégé contre les injections sql ou bien il faut se proteger manuellement ? est c que quelqu'un peut m aider ? et merciiii d avannnce :)
Petit nouveau ! | 1 Messages

20 août 2015, 00:47

bonsoir moi je travaille avec calephp2.6 et j m interroge sur sa securité ! est ce qu il est protégé contre les injections sql ou bien il faut se proteger manuellement ? est c que quelqu'un peut m aider ? et merciiii d avannnce :)
Bonsoir,

Je travaille également avec la version 2.6 de CakePHP je n’ai pas rencontré de problème de sécurité, et je pense que de ce côté CakePHP gère bien les choses, il suffit de l’utilisé d’une manière intelligente, car c’est comme avec tout, vous pouvez avoir le « Framework » ultra-sécurisé, mais avec une mauvaise utilisation il ne vaut pas la peine ;)
J’espère avoir bien répondu à votre question. :)
   Répondre
6 messages   •   Page 1 sur 1
   Outils de sujet