skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos
mercredi 17 novembre 2010

Piège avec un URL en paramètre GET

Publié par Infinite Loop, à 21 h 08 0 commentaire

Voici un piège sur lequel vous risquez de tomber si vous comptez passer un URL comme valeur dans la query string (peu importe le langage de programmation utilisé, ça ne s'applique pas exclusivement au PHP). Considérant un URL comme le suivant :

http://tests.localhost/script.php?active=1&redirect=http://www.google.com/page.php?q=test&limit=10

Vous remarquerez que parmi les paramètres passés dans la query string, il existe plusieurs clés dont "active" et "redirect". On note aussi que la valeur de la clé redirect est elle-même un URL. Donc l'URL complet compte deux "?" en plus des clés supplémentaires "q" et "limit". On pourrait s'attendre à ce que la valeur de la clé redirect soit "http://www.google.com/page.php?q=test&limit=10". Pourtant non.

echo $_GET['redirect']; // http://www.google.com/page.php?q=test
Aussi, la dernière combinaison de clé/valeur est manquante. Pourquoi ? Simplement parce que c'est une clé additionnelle qui est considérée comme partie intégrante de l'URL principal (pas de la valeur du paramètre redirect) et qui est séparée du reste avec le symbole "&". La paire q=test est complètement ignorée parce qu'elle fait partie de la deuxième combinaison :

?(active=1)&(redirect=http://www.google.com/page.php?q=test)&(limit=10)
echo $_GET['active']; // 1
echo $_GET['redirect']; // http://www.google.com/page.php?q=test
echo $_GET['limit']; // 10
Même la fonction parse_url() n'est pas d'un grand secours pour le décortiquer :
$url = 'http://tests.localhost/script.php?active=1&redirect=http://www.google.com/page.php?q=test&limit=10';

$urlParts = parse_url($url);
print_r($urlParts);
Array
(
  [scheme] => http
  [host] => tests.localhost
  [path] => /script.php
  [query] => active=1&redirect=http://www.google.com/page.php?q=test&limit=10
)
Pour contourner ce genre de problème, on devra préalablement transformer la valeur du paramètre redirect avec une fonction comme urlencode(). Le fichier script.php pourra ensuite extraire la valeur de la clé redirect en effectuant quelques manipulations et en décodant la valeur avant de faire la redirection.
$urlParam = urlencode('http://www.google.com/page.php?q=test&limit=10');
$url = 'http://tests.localhost/script.php?active=1&redirect=' . $urlParam;
$parts = parse_url($url);
$pairs = explode('&', $parts['query']);

$keys = array();
foreach($pairs as $pair){
   list($key, $value) = explode('=', $pair);
   $keys[$key] = $value;
}

header('Location: ' . urldecode($keys['redirect']) );
exit;
Certaines personnes pourraient avoir tendance à vouloir utiliser base64_encode() et base64_decode() pour encoder la valeur de l'URL passée en paramètre. Je ne vous recommande pas car vous risquez d'avoir un problème au moment de faire le split sur le caractère "=" (une chaîne encodée en base64 peut comprendre le caractère = dans le résultat).


Tags: PHP, Programmation

0 réponse à "Piège avec un URL en paramètre GET"


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (56)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ►  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ►  février 2011 (3)
      • ►  janvier 2011 (12)
    • ▼  2010 (398)
      • ►  décembre 2010 (29)
      • ▼  novembre 2010 (28)
        • Des arbres en 3D dans Google Earth 6
        • Tracer une zone circulaire sur une carte Google
        • Citation no. 109 sur Facebook
        • Instrument de musique fabriqué avec des tuyaux
        • Disque dur DeLorean USB de BTTF
        • Les programmeurs mélangent l'Halloween et Noël
        • Top 5 des sites complètement inutiles
        • Désolé, vous ne savez pas compter
        • Comment démarrer une vidéo YouTube à un temps spéc...
        • Citation no. 108 sur le programmeur
        • Clé USB à écran de 16 pouces
        • Mike Patton ressemble tout à fait à Johnny Depp
        • L'éthique des hackers
        • Piège avec un URL en paramètre GET
        • La cohérence chez Brick, c'est imbattable
        • Le framework est-il synonyme de mal ?
        • Citation no. 107 sur l'intelligence
        • Piège JavaScript no. 8 avec delete
        • Acheter une maison à Montréal
        • 1750 RIPJSB Hacker et Musique
        • Convertir un fichier Word docx en format doc
        • Liste des thumbnails d'une vidéo YouTube
        • Citation no. 106 sur l'apprentissage
        • De la base 60 vers le binaire
        • Regex de validation de lien YouTube
        • La poutine, d'un océan à l'autre
        • Zero Clipboard pour pallier à un manque des fureteurs
        • Windows 3.1 en JavaScript dans un browser
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ►  janvier 2010 (37)
    • ►  2009 (430)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ►  juin 2009 (38)
      • ►  mai 2009 (37)
      • ►  avril 2009 (35)
      • ►  mars 2009 (37)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ►  2008 (84)
      • ►  décembre 2008 (34)
      • ►  novembre 2008 (39)
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft