Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

[cakePHP] La sécurité dans CakePHP

https://forum.phpfrance.com/viewtopic.php?f=47&t=254294

Page 1 sur 1

[cakePHP] La sécurité dans CakePHP

Posté : 08 juil. 2010, 09:52
par BaLiSTiK
Bonjour,
A mon travail nous utilisons le framework CakePHP pour nos applis. Hier avec un collègue, on a réussi à faire du XSS très facilement dans nos formulaires (l'acces aux applications est interne aux clients mais bon), en rajoute un simple :

Code : Tout sélectionner

<script> document.location = 'http://www.google.fr'; </script>
dans un champs commentaires. Et en allant sur la page d'affichage des données, ça nous redirigeait vers Google.

La seule solution qu'on a trouvé à la vas-vite est de faire un htmlentities() sur tous nos champs mais vu le nombre de formulaire, ça s'annonce très fastidieux (mais ça règle le problème ^^).

En cherchant dans le CookBook, j ai vu qu'il existant un composant "Security" mais je ne comprends pas trop sa mise en place.
Doc : http://book.cakephp.org/fr/view/324/The ... -Component

Si il y a des gens ayant été confronté à ce soucis, pourriez-vous m'éclaircir un peu sur la marche à suivre ?

Cdlt :).

Re: [cakePHP] La sécurité dans CakePHP

Posté : 12 juil. 2010, 10:02
par julot974
Je te conseille de reposer la question sur le forum CakePHP-fr.

Re: [cakePHP] La sécurité dans CakePHP

Posté : 12 juil. 2010, 16:35
par Nours312
salut :: je ne suis pas développeur cake, mais mais il semblerait que la classe Sanitize appelée à l'aide de beforeSave soit une piste non ?

tiens nous au courant ;)

Re: [cakePHP] La sécurité dans CakePHP

Posté : 22 juil. 2010, 10:43
par BaLiSTiK
Nours312 : avec Cake 1.3 c'est effectivement une solution très interessante, je vais en parler avec mes collègues mais en ce qui concerne mon appli, elle est basée sur Cake 1.1 (car ça fais un moment que le projet est lancé...un tres long moment...bref) et il n'a pas la méthode beforeSave() mais la classe Sanitize existe elle par contre. Donc je vais voir si y a moyen de l utiliser :).

Re: [cakePHP] La sécurité dans CakePHP

Posté : 19 août 2015, 01:43
par jakouup
bonsoir moi je travaille avec calephp2.6 et j m interroge sur sa securité ! est ce qu il est protégé contre les injections sql ou bien il faut se proteger manuellement ? est c que quelqu'un peut m aider ? et merciiii d avannnce :)

Re: [cakePHP] La sécurité dans CakePHP

Posté : 20 août 2015, 00:47
par wodzy
bonsoir moi je travaille avec calephp2.6 et j m interroge sur sa securité ! est ce qu il est protégé contre les injections sql ou bien il faut se proteger manuellement ? est c que quelqu'un peut m aider ? et merciiii d avannnce :)
Bonsoir,

Je travaille également avec la version 2.6 de CakePHP je n’ai pas rencontré de problème de sécurité, et je pense que de ce côté CakePHP gère bien les choses, il suffit de l’utilisé d’une manière intelligente, car c’est comme avec tout, vous pouvez avoir le « Framework » ultra-sécurisé, mais avec une mauvaise utilisation il ne vaut pas la peine ;)
J’espère avoir bien répondu à votre question. :)
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/