Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Script modif profil membre : sécurité

https://forum.phpfrance.com/viewtopic.php?f=8&t=266151

Page 1 sur 1

Script modif profil membre : sécurité

Posté : 03 nov. 2012, 15:34
par mumbly
Je cherche désespérément à mettre en place une "sécurité" dans le script suivant (script de modif de profil membre) afin que seul le propriétaire du profil puisse éditer son propre profil (ce qui parait évident :D !) ET qu'on ne puisse pas accéder à la page modif_profil avec un id vide (null).

Voici le script en question : http://pastebin.fr/25779

Toute autre proposition pour sécuriser le script sera la bienvenue.
Un grand merci à toutes/tous pour vos conseils.

Re: Script modif profil membre : sécurité

Posté : 03 nov. 2012, 17:19
par xTG
Stockes en session l'id du membre à la connexion si ce n'est pas déjà fait.
Puis il suffit de vérifier sa concordance avec $iduser.

PS : 
// on extrait $_POST : pratique !
    extract($_POST);// y'a t-il eu changement d'image ou pas ?
    if (empty($name_file)) {
      $sql = "UPDATE users SET nomuser='".mysql_real_escape_string($nomuser)."', mailuser='".mysql_real_escape_string($mailuser)."', signature='".mysql_real_escape_string($signature)."' WHERE iduser=$iduser";
    }
Mais pas du tout sécurisé...
Si je modifie la valeur de $iduser dans le formulaire je fais ce que je veux avec ta base de données. ;)
=> mysql_real_escape_string()
//echo "Le fichier a bien été uploadé";
    header("Location: moncompte.php?id='.$iduser.'");
 
 
    // on extrait $_POST : pratique !
    extract($_POST);
 
 
    // y'a t-il eu changement d'image ou pas ?
    if (empty($name_file)) {
      $sql = "UPDATE users SET nomuser='".mysql_real_escape_string($nomuser)."', mailuser='".mysql_real_escape_string($mailuser)."', signature='".mysql_real_escape_string($signature)."' WHERE iduser=$iduser";
    }
 
    else {
      $sql = "UPDATE users SET nomuser='".mysql_real_escape_string($nomuser)."', mailuser='".mysql_real_escape_string($mailuser)."', avatar='".mysql_real_escape_string($name_file)."', signature='".mysql_real_escape_string($signature)."' WHERE iduser=$iduser";
    }
 
    mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error());
    //echo "<span style=\"color:green; font-size:14pt; font-weight:bold;\">Modification du torrent effectuée !</span>";
    header('Location: moncompte.php?id="'.$iduser.'"');
    $_GET['id'] = $iduser;
Le reste du code ne s'exécutera jamais ou bien pas entièrement à cause de la redirection. ;)

Re: Script modif profil membre : sécurité

Posté : 03 nov. 2012, 18:37
par mumbly
Humm ... merci pour la réponse mais je suis pas sur de tout capter ...
De plus j'ai essayé pas mal de trucs, mais je ne m'en sors pas.
Au niveau sécurité je pensais notamment que mysql_real_escape_string "protégeait" les données en entrée mysql...
Le header('Location: .......') arrête le code certes mais somment afficher l'erreur sans afficher la page en question ? Comment juste afficher le message d'erreur "sans rien d 'autre" ?
Merci pour tout.

Re: Script modif profil membre : sécurité

Posté : 04 nov. 2012, 15:34
par xTG
En effet mysql_real_escape_string() protège bien contre les injections, je te pointe justement du doigt une variable qui n'est pas protégée avec. ;)

Sinon j'ai pas compris le reste... Ton header n'est pas là pour une redirection ?
Si tu veux ne pas afficher le reste soit tu englobes le tout avec une condition soit tu utilises la fonction exit() qui va stopper le script.
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/