PHP : $_SERVER[‘PHP_SELF’] risky?

Bonsoir et Creepy Halloween.

Nous nous retrouvons aujourd’hui pour parler de php. Php est un langage de script côté serveur pouvant servir à générer du code HTML dans le but de rendre une page dynamique. Il est souvent utilisé en web pour interagir avec les bases de données. Les développeurs Back-End en sont les principaux utilisateurs.

Nous allons maintenant parler d’une super variable php (une variable prédéfini accessible à n’importe quel moment dans un script) $_SERVER[‘PHP_SELF’] que j’ai utilisé lorsque j’ai voulu envoyé les données de mon formulaire sur ma page afin de les traitées. Cette variable me permet de récupérer le nom de la page.

Mais, l’utiliser tel quel comporte un risque de cross-site scripting comme vous pouvez le voir sur ce lien (XSS consiste à injecter du contenu dans une page) . Du coup, pour éviter cela il faut combiner la variable à la fonction htmlspecialchars() qui va remplacer les caractères spéciaux comme < par $lt;. On empêche ainsi l’introduction de balise html dans notre page. Sinon, vous pouvez utiliser $_SERVER[‘SCRIPT_NAME’]  à la place ou ne rien mettre.

A travers cet exemple, nous pouvons nous rendre compte qu’il faut bien faire attention lors de l’utilisation de super variable, on peut avoir de mauvaises surprises.

Finalement, nous pouvons nous dire que rester simple diminuera les risques de vulnérabilités dans nos pages. C’est pourquoi évitons d’utiliser des super variables si ce n’est pas nécessaire.

Et si vous le faites, renseignez-vous sur les risques que cela peut entrainer. Voici un lien qui parle de la variable $_SERVER.

Nous nous disons à très bientôt, pour toujours plus de contenus.

One thought on “PHP : $_SERVER[‘PHP_SELF’] risky?

Laisser un commentaire :

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *