Sécurité d'une url avec GET

Résolu

pixelrulez -
Apatik Messages postés 5304 Date d'inscription Statut Contributeur Dernière intervention - 4 nov. 2011 à 11:57

Bonjour,

Je voulais savoir comment sécuriser une url avec des variables dedans du type :

http://www.votresite.com/index.php?nom=dupont&prenom=jean

Le probleme étant que l'utilisateur peut changer manuellement les variables dans l url et accéder à d autres pages.

Merci d'avance.

Afficher la suite

A voir également:

Sécurité d'une url avec GET
Question de sécurité - Guide
Url - Guide
Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
Mode securite - Guide
Get data back - Télécharger - Récupération de données

1 réponse

Réponse 1 / 1

Apatik Messages postés 5304 Date d'inscription Statut Contributeur Dernière intervention 782

Bonjour,

En POST il y a les mêmes contraintes, et l'utilisateur peux modifier les variables sans trop de difficultés.

En fonction de l'utilisation, tu dois les passer par des fonctions différentes:

htmlentities();
urlencode();
mysql_escape_string();

Je te propose de lire le lien suivant pour mieux comprendre: https://www.commentcamarche.net/faq/10462-securiser-son-code-php#echapper-le-contenu-affiche-ou-transmis-par-url

Mais sécurise aussi tes variables POST!

pixelrulez

Oui j'utilise déjà htmlentities(); et mysql_escape_string(); juste urlencode à rajouter et c'est bon.

Donc si j'ai bien capté :

mysql_escape_string(); pour insertion delete mise a jour dans une bdd

htmlentities(); pour affichage html

urlencode(); pour crypté la variable dans l'url.

Apatik Messages postés 5304 Date d'inscription Statut Contributeur Dernière intervention 782

Ouep, mais utilise quand même mysql_escape_string() pour les variables traitées par PHP mais qui ne rentrent pas dans les cases plus haut. (Stockage dans un fichier, variable de calcul entrée par l'user, ...

Sécurité d'une url avec GET

1 réponse

Votre réponse

Discussions similaires