Traitements 1. Les dangers du PHP Simple au premier abord Pas de typage Principe pas compliqué Page internet testée pas beaucoup de monde Utilisateur.

Slides:



Advertisements
Présentations similaires
Premiers pas….
Advertisements

CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
LE LANGAGE JAVASCRIPT LES FENETRES.
Conception de Site Webs dynamiques Cours 6
1 : Léditeur 2 : Le traitement dimages. 3 : La visionneuse dimage. FRONTPAGE PAINT SHOP PRO ACD SEE.
Création de Pages Web Dynamiques
Copyright France Télécom, tous droits réservés Paris Web Ateliers Les bibliothèques JS jQuery Orange Labs Julien Wajsberg, Recherche & Développement.
Le publipostage La fonction de fusion permet de créer des documents identiques dans les grandes lignes que l’on personnalise automatiquement à chaque destinataires.
Les fonctions de XPath et XSLT
Personal Home Page / Hypertext Processor (PHP)
HTML Les types de balises
TP 3-4 BD21.
Formulaire HTML Introduction. Définition de formulaire.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
API Présentation Comment ajouter des pages. Vous voici dans notre site « laboratoire » pour la démonstration RAJOUTER UNE PAGE.
Soutenance de stage · Par : Guillaume Prévost · Entreprise : Cynetic
Cours n°3 Les formulaires
Révision Avant lintra – Architecture de lordinateur, les composants, le fonctionnement, codage – Système dexploitation: organisation des données (fichier),
2006/2007Denis Cabasson – Programmation Web Cours de programmation web ENSAE
Web traditionnel
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Cours 7 - Les pointeurs, l'allocation dynamique, les listes chaînées
Développement dapplications web Initiation à la sécurité 1.
Les instructions PHP pour l'accès à une base de données MySql
1.Vider la boite aux lettres Lorsque vous avez ce message à louverture de votre boîte, il faut penser à la vider. Sinon, vous ne recevrez plus les messages.
Python La programmation objet
Référencement Que peut faire baisser votre classement ?
Recherche Documentaire au CDI
Manipulation de formulaires en Javascript
1 Étude de marché sur Internet Les sondages sur le Net Come2001 Décembre 2006.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Javascript JavaScript / Jquery Langage de script (comme PHP) Exécuté par votre navigateur (Firefox, IE,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Projet de Master première année 2007 / 2008
Photoshop3 Calques Filtres Correction des couleurs
PHP 2° PARTIE : FONCTIONS ET FORMULAIRE
FM Global TouchPoints
Javascript 1° PARTIE : LES BASES
TP n°3 Javascript Contrôle de formulaire
Introduction au langage PHP Licence Pro Cours Internet / Intranet Utilité Historique Exemples Fonctions PHP Classes.
GROUPE BTS IRIS 2 Informatique et Réseaux pour l’industrie et les Services techniques E-6 PROJET INFORMATIQUE REVUE N°2      INTERROGATION DE LA BASE DE.
JavaScript Nécessaire Web.
Algorithmique Les structures Rappel L'enchaînement séquentiel
Introduction à JavaScript
Par JJ Pellé le 23 aout 2012 Bonjour à tous Le 14 aout 2012 j'ai reçu de la part d'un de mes contacts un message de solidarité. Cela doit faire la dixième.
JavaScript.
Cours de programmation web
Les balises HTML et les objets JavaScript correspondants Objet document L'objet document est important dans la mesure ou il contient tous les objets du.
 Syntaxe du langage PHP
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Variables et environnement utilisateur W. Barhoumi.
Asynchronous JavaScript And XML AJAX C. Petitpierre
 Formulaires HTML : traiter les entrées utilisateur
Mettre en formeExaminerManipuler Les fonctions printf() et sprintf Le traitement de chaîne de caractère La fonction printf() formate le contenu d'une chaîne.
Initiation au JavaScript
Permet de simplifier la maintenance d’un site
Problèmes critiques et Modification de la liste de vérification Version 1.0, 15 mars 2011.
eXtensible Markup Language. Généralités sur le XML.
Plan de la présentation
HTML Création et mise en page de formulaire Cours 3.
CPI/BTS 2 Programmation Web Fonctions & Includes Prog Web CPI/BTS2 – M. Dravet – 02/11/2003 Dernière modification: 02/11/2003.
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
Conception des pages Web avec
Séminaire de rentrée cours de programmation web & Wordpress
Vous voici dans notre site « laboratoire » pour la démonstration AJOUTER UNE PAGE Cliquez sur ENTREZ ICI pour accéder à la partie administration.
SOMMAIRE  Intro et cahier des charges 2 Présentation Projets Étude et recherche Développement Doc. et manuels Conclusion J.
Language html Hyper Text Markup Language
Scénario Les scénarios permettent de modifier la position, taille … des calques au cours du temps. Son fonctionnement est très proche de celui de Macromedia.
Bloc 1 - UE 5 - Technologies de l’information et de la communication TIC Bachelier en immobilier T. SOUMAGNE.
Aide à la validation de la commande de ma clé RGS **
Les expressions impersonnelles. Qu’est-ce qu’une expression impersonnelle? des phrases qui veulent dire quelque chose qui est générale: Il est essentiel.
Transcription de la présentation:

Traitements 1

Les dangers du PHP Simple au premier abord Pas de typage Principe pas compliqué Page internet testée pas beaucoup de monde Utilisateur confirmés (hackeurs) Le moindre bug peut être exploité 2 !!

Exemple de bug Imaginons le formulaire suivant : red green blue Il doit produire laffichage suivant : 3

Exemple de bug Imaginons ensuite que lon affiche la couleur saisie : Normalement, on ne pourra avoir que : Votre couleur est red Votre couleur est red Votre couleur est green Votre couleur est green Votre couleur est blue Votre couleur est blue Mais… 4

Exemple de bug Imaginez quun attaquant modifie le formulaire : Il peut alors envoyer nimporte quelle couleur… Pire Pire : il peut insérer des balises HTML pour faire changer de pages Grâce au javascript :<script> document.location = ' </script> 5

Conclusion Il existe une multitude de risque Beaucoup dautre « bugs » Il existe beaucoup de « petits malins » Le hacking attire beaucoup ! On est jamais trop prudent Toujours vérifier ce que lon reçoit 6

Vérifications des valeurs Utiliser les fonctions toutes faites, cest le minimum ! Htmlspecialchars($var) : $new = htmlspecialchars(" Test "); print $new; // <a href='test'>Test</a> strip_tags ($var," …") : $new = strip_tags(" Test ",""); print $new; // {vide} $new = strip_tags(" Test toto "," "); print $new; // Test 7

Vérification des valeurs Faire ses propre fonctions, en utilisant : str_replace($what,$with,$phrase) : $voyelles = array("a", "e", "i", "o", "u", "A", "E", "I", "O", "U"); print $consonnes = str_replace($voyelles, "", "Bonjour le monde"); // Génère : Bnjr l mnd $phrase = "Vous devriez manger des fruits et des légumes les jours."; $regime = array("fruits", "légumes"); $bonne_chere = array("pizzas", "gâteaux"); print $newphrase = str_replace($regime, $bonne_chere, $phrase); // Génère : Vous devriez manger des pizzas et des gâteaux tous les jours. $phrase = " Titi Lelore Prof "; $balises = array(" "); $codeBalises = array("<", ">"); print $newphrase = str_replace($balises, $codeBalises, $phrase); // Génère : <b>Titi</b><i>Lelore<i><h1>Prof</h1& gt; 8

Vérification des valeurs Faire ses propre fonctions, en utilisant : strcmp($phrase1,$phrase2) : Retourne < 0 si $phrase1 est inférieure à $phrase2 ; Retourne > 0 si $phrase1 est supérieure à $phrase2, Retourne 0 si les deux chaînes sont égales. substr($phrase,$debut,$longueur) : print substr('abcdef', 1,20); // bcdef print substr('abcdef', 1, 3); // bcd print substr('abcdef', 0, 4); // abcd 9

Finalement problèmes Pour être sûr de ne pas avoir de problèmes (récupération de mots de passe…), il faut toujours filtrer les valeurs reçues de formulaires, même ceux qui paraissent sans importance ! 10