Les plus grandes faiblesses de nombreux programmes PHP ne viennent pas du langage lui-même, mais de son utilisation en omettant les caractéristiques de sécurité. Pour cette raison, vous devez toujours prendre le temps de prendre en compte les implications d'une fonction, et de cerner toutes les applications d'une utilisation exotiques des paramètres.
Est-ce que ce script n'affectera que les fichiers prévus?
Est-il possible que des valeurs incohérentes soient exploitées ici?
Est-ce que ce script peut être utilisé dans un but différent?
Est-ce que ce script peut être utilisé malicieusement, en conjonction avec d'autres?
Est-ce que toutes les actions seront notées?
Vous pouvez aussi envisager de supprimer l'acquisition automatique des variables d'environnement, les guillemets magiques (magic_quotes), ou encore toute option qui pourrait vous conduire à mésévaluer la validité, la source ou la valeur d'une variable. En travaillant avec error_reporting(E_ALL), vous pouvez être averti que certaines variables sont utilisées avant d'être exploitées, ou vérifiées (et donc, vous pourrez traiter des valeurs exotiques à la source).
Précédent | Sommaire | Suivant |
Utilisation des variables super-globales | Niveau supérieur | Guillemets magiques |