Problême avec une boucle dans un tableau

Problême avec une boucle dans un tableau

Xenos
Hors ligne

Administrator

Messages : 4 953
Sujets : 220
Inscription : Jul 2020

28-01-2014, 02:31 AM

tl;dr
L'injection va venir de la fiabilité de $_SESSION['login']: si elle n'est pas vérifiée et que sa valeur vient du visiteur, alors ce visiteur peut injecter du code dans la requête et lui faire faire ce qu'il veut.
Crée des fonctions séparées dédiées à la lecture/écriture de la BDD.
Dans toute requête, cast tes variables avant de les insérer dans la requête ("SELECT * FROM `foo` WHERE `id`=".(int)($id))

Injection

Supposons que $_SESSION['login'] soit défini par le serveur de cette façon:

Code :
$_SESSION['login'] = 25

Code :
$req = mysqli_query(...);

$row = mysqli_fetch_array($req);

$_SESSION['login'] = (int)$row['id'];

Alors, en ce cas là, la variable $_SESSION['login'] ne pourra contenir qu'un integer. Elle sera donc fiable, et il n'y aura pas d'injection dans le code présenté.

Maintenant, supposons que le serveur définisse la variable $_SESSION['login'] comme ceci:

Code PHP :
<?php 

$_SESSION['login'] = $_COOKIE['login']; 

Ou comme cela

Code PHP :
<?php 

$_SESSION['login'] = $_GET['login']; // $_GET ou $_POST 

Alors la variable $_SESSION['login'] peut contenir n'importe quoi, y compris une chaine de texte arbitraire, fixée par le client.
En ce cas, si tu fais une concaténation:

Code PHP :
<?php 

'SELECT * FROM `table` WHERE `id`="'.$_SESSION['login'].'"'" 

Alors PHP fera le remplacement de $_SESSION['login'] par son contenu, puis il enverra le résultat à mysql (via mysqli_query()).
En ce cas, danger! $_SESSION['login'] a été définie par le visiteur ($_SESSION['login'] = $_GET['login']). Du coup, la commande "SELECT..." contient un morceau de code définit par le visiteur. Cela s'appelle de l'injection: le visiteur du site peut faire exécuter la commande qu'il souhaite à mysql.
Ainsi, si l'utilisateur définit

Code PHP :
<?php 

$_GET['login'] = '" OR "1"="1'; 

Oui, le pseudonyme " OR "1"="1 n'est pas très courant, mais bon...
Alors, on aura:

Code PHP :
<?php 

$_SESSION['login'] = $_GET['login'];

// c'est à dire $$_SESSION['login'] = '" OR "1"="1'

$requete = 'SELECT * FROM `table` WHERE `id`="'.$_SESSION['login'].'"'";

// C'est à dire 'SELECT * FROM `table` WHERE `id`="" OR "1"="1"'

mysqli_query($requete)

// MySQL execute la requete 'SELECT * FROM `table` WHERE `id`="" OR "1"="1"'

// la condition "1"="1" est toujours vraie quelque soit la ligne

// MySQL va donc renvoyer TOUTES les lignes de la table `table`

//alors que l'on voulait uniquement les lignes de l'utilisateur courant

Tout dépend donc de la fiabilité de ta variable de session. Est-ce un (int)? Ou bien est-ce une chaine qui vient du visiteur?

Transtypage
Dans tous les cas, je te recommande de toujours caster tes variables quand tu les utilises dans une requete SQL. Ainsi, si une variable est un entier, cast-la en "int" comme ceci:

Code PHP :
<?php 

$requete = 'SELECT * FROM `table` WHERE `id`="'.(int)($_SESSION['login']).'"'"; 

Ainsi, quoique $_SESSION[] contienne (peu importe sa fiabilité), (int)($_SESSION['login']) sera toujours un entier. Cela te protège de l'injection grave. En revanche, cela ne garanti en rien que $_SESSION['login'] soit l'identifiant de l'utilisateur: ailleurs, dans le code, l'utilisateur a peut-être eu l'occasion d'envoyer un login qui n'est pas le sien, pour récupérer les infos d'un autre joueur. Ou encore, si $_SESSION['login'] n'est pas transtypable en un entier (par exemple, "toto" est une chaine de caractères qui n'est pas convertible en entier), alors (int)($_SESSION['login'] ) vaudra 0, et non l'identifiant du joueur.

Namespace dédié aux E/S de la BDD
Egalement, je te conseille de te créer un ensemble de fonctions dédiées à la récupération de données dans la BDD. Tu peux les regrouper dans un namespace, pour plus de clarté.

Ainsi, au lieu de ceci:

Code PHP :
<?php 

// code A

for ($requete = mysqli_query('SELECT * from `toto` WHERE `id`="'.(int)($_SESSION['login']).'"'); ($row = mysqli_fetch_array($requete)); )

{

// code B

}

// code C

Tu aurais cela

Code PHP :
<?php 

// Dans un fichier nommé, par ex, "mySQLi.php", que tu inclus dans tes pages de site

function getToto()

{

$id = (int)($_SESSION['login']);

if (!$id > 0)

error("Identifiant invalide");

//throw new Exception("Identifiant invalide");

// Je ne sais pas si les exceptions te sont familières

// Si non, cherche dans la documentation.

// En quelques mots, elles servent à gérer les cas "d'erreur"

// Ici, un identifiant négatif est un cas d'erreur, et si cela arrive, il ne faut pas exécuter le "for"

// lancer (throw) l'exception stoppe getToto() et redonne la main à la ligne de code qui l'a appelé

$retour = array();

for ($requete = mysqli_query('SELECT * from `toto` WHERE `id`="'.(int)($id).'"'); ($row = mysqli_fetch_array($requete)); )

{

$retour[] = Array( 'login' => $row[0], 'taillePlante' => $row[1], 'typePlante' => $row[2]);

}

return ($return);

}

// dans le php de la page du site

// code A

foreach (getToto() as $plante)

{

// code B

}

// code C

Programmation Orientée Objet
Enfin, je te conseillerai d'utiliser l'approche OO de PHP, qui sera plus simples à manipuler (même sans en utiliser tous les ressorts). Ainsi, au lieu de te farcir un tableau associatif

Code :
$retour[] = Array( 'login' => $row[0], 'taillePlante' => $row[1], 'typePlante' => $row[2]);

Tu pourras créer un classe "Plante" avec les attributs "joueur", "taille" et "type". L'intérêt, c'est que tu pourras mettre des codes vérifiant l'intégrité ddu numéro du joueur, de la taille et du type de la plante dans le code de la classe "Plante".
Ainsi, vue de l'extérieur, tu auras ceci:

Code :
echo ($plante->getTaille());

Simple. Et vu de l'intérieur:

Code PHP :
<?php 

class Plante

{

private $taille = 0;

//...

public function getTaille()

{

$t = (int)($this->taille);

if ( !($t >= 0) )

throw new Exception("Plante invalide!");

return ($t);

}

}

Ainsi, tu seras certain qu'un objet "plante" dont tu demandes la taille te renverras toujours une valeur valide, ou lèvera une exception (qui est traitée par un bloc "try / catch"). Tu sauveras ta BDD des hackers et tu adoreras la belle allure de ton nouveau code Smile

Dracca: des dragons (WIP) - ECLERD: des politiciens - Mon devblog - Tous mes jeux

« Sujet précédent | Sujet suivant »

Utilisateur(s) parcourant ce sujet : 1 visiteur(s)

Messages dans ce sujet

Problême avec une boucle dans un tableau - par Lindis - 27-01-2014, 06:58 PM

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Boucle rétroactive dans une simulation	Xenos	4	1 909	18-01-2019, 04:20 PM Dernier message: Xenos
	[résolu] Système de matchmaking : Bug boucle infini avec while en PHP	Ganjamnezia	9	4 709	01-08-2018, 03:03 AM Dernier message: Sephi-Chan
	[All/Scala] Trier de coordonnées dans un tableau à deux dimensions	srm	30	13 283	05-04-2013, 06:13 PM Dernier message: niahoo
	Exécuter une requête une seule fois dans une boucle	Ereinion	23	10 148	18-11-2012, 09:35 PM Dernier message: Xenos
	UPDATE mysql dans une boucle: alternative?	php_addict	29	12 390	18-01-2012, 12:14 AM Dernier message: php_addict

JeuWeb Créez votre jeu par navigateur !