Bonjour.
 
Auriez vous une page web à me conseiller, concernant les règles de sécurité pour la réalisation d'une messagerie privée style forum.
(j'ai programmé sur mon site internet un tel systeme de messagerie privée pour que les personnes communiquent en privé).
 
Quels sont les pieges à éviter? (supprimer tout ce qui contient code html?... ).
 
Merci d'avance, je n'ai pas grande notion de sécurité informatique.
 

Virer tout éventuel code Html contenu dans le message.
http://fr.php.net/htmlentities
fait ça très bien.
 
Les failles types XSS (->google) si tu permet aux utilisateurs de faire de la mise en forme via une syntaxe particulière.
 
Ensuite ya toutes les failles classiques, SQL Injection par exemple.

Merci, je ne connaissais pas les injections SQL, j'ai trouvé des liens interessants à ce sujet, je vais les étudier.

Après ya un minimum de base, pour que l'utilisateur ne puisse pas lire un MP dont l'ID ne lui est pas destiné ... mais indirectement ça revient aux injections SQL, à la récupération de variables, et à un code "logique".

°our supprimer le code HTML, il y a tout simplement strip_tags(), qui le supprime complètement. htmlentities() affichera le code HTML dans le message, ce qui risque de ne pas être terrible côté présentation.

Parfois on peut avoir besoin de les utiliser donc les supprimer, c'est anti-ergonomique amha

Désolé mais c'est juste merdique à souhait comme solution...
Ok je m'emballe un peu pour rien, pardon.
 
Mais si je veux envoyer le message suivant à un utilisateur :
"Au fait, la balise <center> elle serait pas un peu dépréciée ?"
Qu'est ce qu'il va recevoir?

=> OWASP

 
Justement, strip_tags() permet d'autoriser certains tags, alors que htmlentities() va convertir tous les caractères sans se préoccuper de savoir si ce sont des balises ou pas, et sans possibilité d'autoriser certains tags.
 

 
Rien de merdique comme tu le dis, puisqu'on peut autoriser des balises. Perso, si quelqu'un envoie un message en pensant que les balises HTML vont être interprétées, je préfère avoir juste le texte plutôt que ceci :  
 

 
Et rien n'empêche d'ajouter une case "Convertir les balises HTML en texte" pour éviter qu'elles ne soient supprimées.

non
On peut vouloir mettre toutes les balises possibles, regarde sur la catégorie HTML/CSS/Javascript, ce serait nul de ne pas pouvoir en mettre.
Surtout que tu ne peux pas savoir quels tags vont être utilisés

dans mon cas c'est du texte pur et brut, aucune mise en forme...  
 
je veux juste me prévenir des failles de sécurités au niveau de cette zone de saisie utilisateur.

alors htmlspecialchars à l'affichage suffit
et échappe tes données SQL aussi

par "échapper" vous entendez appel à la fonction addslashes() ?

ou mysql_escape_string() plutôt ou encore mieux l'utilisation de requêtes préparées.

merci

 
Comme l'a dit decomposee, dans son cas, c'est une question de sécurité uniquement. Il interdit l'utilisation des balises.  
Je propose une solution qui permet en plus de permettre de placer des balises en mode texte, et en plus, je me fais agresser par des personnes butées qui ne comprennent rien. De toute manière, il choisira ce qu'il veut !

  tu n'es pas obligé de prendre un "ton" agressif. Enfin bon comme tu l'as dit il choisira mais je ne lui recommande pas strip_tags
   

Si les MP sont censé contenir du texte brut (sans mise en forme) alors il faut qu'il les traite comme du texte brut sans altérer les messages. Pour ça le mieux reste encore "htmlentities" à l'affichage et "mysql_escape_string" (ou la fonction équivalente correspond au SGBD et à la librairie d'accès au SGBD choisit ou encore mieux les requêtes préparés) pour le stockage des données.
 
En utilisant "strip_tags" à l'affichage, on ferait disparaitre les balises html classique, tous les exemples de code php et comble du comble, ça éliminerait du texte dans tous les messages qui ont un bout de texte qui ressemble à de l'html ou à une balise php. En bref, ça n'est vraiment pas une solution dans le cas présent.

ma crainte etait qu'une personne mal intentionnée, dans son texte brut, tape par exemple un lien html  IMG SRC  vers une image X, ou autre...  
apres tout ce qui est "injections" je n'y avais pas du tout pensé...
j'ai préféré poser la question car je ne suis pas au fait de tout ce qui peut etre faille au niveau d'un systeme de MP

OWASP
 
PDO