Merci de la piqûre de rappel ci-dessous concernant les langages dynamiques Web.
Les documents sur la sécurité abondent en ce sens, dont surtout la réinjection de codes dans les pages Web. La question initiale était : /index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200, possible tentatives avec succès..." Mais rien n'empêche de taper directement ceci : "www.monsite.com/../../../../... /etc/passwd Le fait d'avoir une page d'index ou non, "/index.php?rev=../../../../../../../../../etc/passwd" ne doit pas changer grand chose... André On Friday 09 October 2015 14:30:54 Sébastien NOBILI wrote: > Le vendredi 09 octobre 2015 à 13:27, andre_deb...@numericable.fr a écrit : > > Je ne sais plus qui, je ne sais plus quand (ça a été tronqué) a écrit : > > > pour la sécurité d'une page Internet dynamique tout > > > les arguments passés a une page Internet, qu'ils soit > > > par l'URL ou par des formulaires, sont à considérer > > > comme potentiellement dangereux : > > > > Le PHP est un langage de sites dynamiques, > > comment faire autrement ? > > PHP a une très mauvaise réputation de nid à failles. Cette réputation n'est pas > forcément très objective mais parmi les arguments qui l'ont faite, on trouve : > - que l'API n'est pas très rigoureuse; > - qu'on peut développer un site en PHP sans trop de connaissances (et donc > sans forcément trop de sécurité non plus). > > > "php.ini" traite les variables de formulaires, > > selon le mode "register_global = off", > > avec transmission de la variable à la page de traitement par : > > ...$_POST["name"]... > > Que peut-on faire de plus ? > > Ma réponse est indépendante du langage utilisé et vaut autant pour PHP que pour > tout autre langage utilisé pour créer des sites dynamiques (et même d'une > manière large des programmes client/serveur) : > > Ne _jamais_ faire confiance à ce qui arrive du client ! > > Tu considères que tout est douteux et tu vérifies _scrupuleusement_ tout ce qui > arrive : > - est-ce que le nombre que tu attends est bien seulement un nombre; > - est-ce que la chaîne que tu attends ne contient pas de quoi faire de > l'injection SQL; > - est-ce que la chaîne que tu attends ne contient pas de quoi faire du XSS; > - etc. > > Pour ça, les expressions rationnelles sont un très bon allié. > > Sébastien > >