Sécurité : Différence entre versions
(→Filtrez toutes les données externes) |
(→Filtrez toutes les données externes) |
||
| Ligne 29 : | Ligne 29 : | ||
// utilisation de $var | // utilisation de $var | ||
</pre> | </pre> | ||
| − | Code correct: | + | Code correct : |
<pre> | <pre> | ||
$var = 0; | $var = 0; | ||
Version du 8 janvier 2008 à 13:37
Sommaire
- 1 Filtrez toutes les données externes
- 2 Register globals
- 3 Protection des variables de sorties
- 4 Affichage des messages de debug
- 5 Configuration du serveur de développement
- 6 Les addons
- 7 Chargement de fichiers
- 8 Les titres de page et message d'erreur
- 9 Modifications fonctionnelles apportées sur ovidentia 6.1.0
- 10 Sécuriser une installation d'ovidentia
Filtrez toutes les données externes
Toutes les données en entrée doivent être considérées comme invalides. A vous de prouver leur validité.
- Vérifier que la variable contient ce que vous attendez :
Utiliser intval si vous attendez un entier
Utiliser strval si vous attendez une chaîne
etc ...
$total = intval( bab_pp('total', 0));
$name = strval( bab_pp('name', 0));
- Initialiser vos variables :
Code incorrect :
if( .... )
{
$var = 1;
}
// utilisation de $var
Code correct :
$var = 0;
if( .... )
{
$var = 1;
}
// utilisation de $var
Register globals
Développer avec la directive register_globals à Off.
Et utiliser bab_rp(), bab_pp(), bab_gp() ( voir Règles de codage#Variables externes à PHP ( GET et POST ).
Utiliser les superglobals pour le reste: $_SESSION, $_COOKIE, etc...
Protection des variables de sorties
- Vers le navigateur:
- Les variables à destination du navigateur doivent être protégées, utiliser la fonction :
- bab_toHtml() ( voir Règles de codage#Protection des variables de sorties )
- Utiliser urlencode() pour les paramètres d'url.
- Vers la base de données:
- Toujours placer les données entre apostrophes quelque soit le type.
- Exemple: select * from table where id='2'
- Toujours utiliser db_escape_string() pour protéger les variables passées dans les requêtes SQL.
- Exemple : select id from table where id_user=\'.$babDB->db_escape_string($var).\';
- Ou la méthode quote() qui permet de sérialiser la variable si c'est un tableau
- Exemple : select id from table where id_user=IN(.$babDB->quote($var).);
Javascript
Il faut éviter d'utiliser innerHTML quand c'est possible, préférer les syntaxe : .appendChild(document.createTextNode(label));
Affichage des messages de debug
Utiliser la fonction bab_debug() ( Voir .Règles de codage#Debug )
Configuration du serveur de développement
Le serveur de développement doit être configuré pour reporter les erreurs.
error_reporting = E_ALL display_errors = On
On peut aussi inclure ces directives dans le fichier index.php du site:
ini_set('error_reporting', E_ALL);
ini_set('display_errors', true);
Les addons
Dans chaque fichier, le premier fichier à inclure est base.php:
/************************************************************************ * OVIDENTIA http://www.ovidentia.org * ************************************************************************ * Copyright (c) 2003 by CANTICO ( http://www.cantico.fr ) * ... ************************************************************************/ include_once 'base.php'; ....
Ce fichier est à créer dans le même répertoire s'il le faut et doit contenir une seule instruction: exit;
Comme ceci:
<?php /************************************************************************ * OVIDENTIA http://www.ovidentia.org * ************************************************************************ * Copyright (c) 2003 by CANTICO ( http://www.cantico.fr ) * * * .... ************************************************************************/ exit; ?>
Ajouter un fichier index.html vide pour ne pas lister le répertoire.
Chargement de fichiers
L'extension des fichiers chargés par l'utilisateur sur le serveur doit être filtrée. On ne doit pas permettre de charger des fichiers php, js, sh, asp, .... D'une manière générale tout fichier qui peut être exécuté sur le serveur ne doit pas être chargé.
Sinon, s'il faut le faire, le fichier doit être stocké sur le serveur en transformant le nom afin de masquer l'extension.
De plus les fichiers chargés sur le serveur ne doivent pas être accessibles à l'utilisateur.
Un fichier temporaire ne doit pas être ouvert directement, les seules fonctions autorisées pour manipuler un fichier temporaire en provenance de l'utilisateur sont move_uploaded_file() et is_uploaded_file()
Les titres de page et message d'erreur
Pour les titres de page il est préférable d'utiliser $babBody->setTitle() si le titre est du texte brut car la transformation en html est intégrée dans la fonction.
Pour les messages d'erreur il est préférable d'utiliser $babBody->addError() au lieu de $babBody->msgerror.
La fonction s'appelle addError car la prochaine version des skins permettra la gestion des messages d'erreurs multiples, pour le moment les messages d'erreurs sont séparés par des retours à la ligne.
Modifications fonctionnelles apportées sur ovidentia 6.1.0
liste des modifications fonctionnelles pour les corrections de sécurité qui peuvent entraîner des dysfonctionnements :
- Les données de la variable $_SESSION ne sont plus intégrés dans les variables globales
- Les données de la variable $_FILES ne sont plus intégrés dans les variables globales
- L'authentification par cookie à été modifiée
Sécuriser une installation d'ovidentia
Rendre ovidentia plus sécurisé avec le paramétrage :
- Activer le filtre de l'éditeur WYSIWYG dans les options du site
- register_globals off
- magic_quotes off
- error_reporting E_NONE
- $babNTauth ne doit pas être activé dans config.php
