Sécurité d'une url avec GET

Résolu
pixelrulez -  
Apatik Messages postés 6040 Statut Contributeur -
Bonjour,

Je voulais savoir comment sécuriser une url avec des variables dedans du type :

http://www.votresite.com/index.php?nom=dupont&prenom=jean

Le probleme étant que l'utilisateur peut changer manuellement les variables dans l url et accéder à d autres pages.

Merci d'avance.

1 réponse

  1. Apatik Messages postés 6040 Statut Contributeur 789
     
    Bonjour,

    En POST il y a les mêmes contraintes, et l'utilisateur peux modifier les variables sans trop de difficultés.

    En fonction de l'utilisation, tu dois les passer par des fonctions différentes:
    htmlentities();
    urlencode();
    mysql_escape_string();
    


    Je te propose de lire le lien suivant pour mieux comprendre: https://www.commentcamarche.net/faq/10462-securiser-son-code-php#echapper-le-contenu-affiche-ou-transmis-par-url

    Mais sécurise aussi tes variables POST!
    0
    1. pixelrulez
       
      Oui j'utilise déjà htmlentities(); et mysql_escape_string(); juste urlencode à rajouter et c'est bon.

      Donc si j'ai bien capté :

      mysql_escape_string(); pour insertion delete mise a jour dans une bdd

      htmlentities(); pour affichage html

      urlencode(); pour crypté la variable dans l'url.
      0
    2. Apatik Messages postés 6040 Statut Contributeur 789
       
      Ouep, mais utilise quand même mysql_escape_string() pour les variables traitées par PHP mais qui ne rentrent pas dans les cases plus haut. (Stockage dans un fichier, variable de calcul entrée par l'user, ...
      0