Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > fr.comp.lang.python > #3282

Re: integrer un script python a une page web

Newsgroups fr.comp.lang.python
From Lulu <lulu042@fry.fr.invalid>
Subject Re: integrer un script python a une page web
References (2 earlier) <slrnr4bisd.1gj.lulu042@Minty.Rock-n-Roll.org> <bufc4flobj9hk6vnmgtsqbcv0k4hahe1dm@4ax.com> <5e464ae1$0$31421$426a74cc@news.free.fr> <slrnr4cjrl.cjg.lulu042@Minty.Rock-n-Roll.org> <5e46701e$0$15165$426a74cc@news.free.fr>
Organization koitess?
Message-ID <slrnr4e3cf.kol.lulu042@Minty.Rock-n-Roll.org> (permalink)
Date 2020-02-14 22:13 +0100

Show all headers | View raw

Le 14-02-2020, Nicolas <nicolasp@aaton.com> a écrit :
>  Le 14/02/2020 à 08:42, Lulu a écrit :
>> Le 14-02-2020, Nicolas <nicolasp@aaton.com> a écrit :

>>>> Il ne te reste plus qu'à mettre la page en question en ligne pour
>>>> qu'on puisse jouer avec :)
>>>
>>>   Avec le trou de sécurité qu'il vient d'introduire dans sa machine,
>>>   il vaudrait mieux pas.
>> 
>> Peux-tu préciser ?
> 
>  La fonction system() permet de lancer n'importe quelle commande dans
>  un bash.

Ah ? <mode naïf=on>
La fonction system ne contient pourtant que les variables sélectionnées
par mon formulaire.

>  En programmation classique, elle est à éviter autant que possible (il y 
>  a d'autres solutions).

Qu'elles sont-elles ?

>  En programmation WEB, elle est à proscrire.

Je veux bien te croire.

>  Un exemple simple : Ton script PHP récupère les informations saisies sur 
>  la page WEB et appelle system("python mon_script %d, %d, %s" % (param_x, 
>  param_y, param_titre)
>  Sauf que moi, je suis un vilain et je fais un appel à ton script avec 
>  les paramètres x=10, y=20 et titre="Mon_titre; commande_malicieuse" 
>  (dans la requête http).

Mon script n'utilise pas le passage de paramètres par requête http.
(Moi newbie : excuser que je ne comprenne pas)

>  Résultat, tu as un appel système avec :
>  python mon_script 10 20 Mon_titre; commande_malicieuse
> 
>  Ton script sera exécuté et commande_malicieuse aussi.

Je comprends bien qu'un indélicat pourrait saisir du code malicieux dans
les zones de saisie, mais je ne comprends pas comment ce code envoyé en
paramètre à mon script python fonctionnerait et comme mon script PHP
vérifie que ce qui est saisi est une valeur entière, je ne vois pas
comment on pourrait y injecter du code pourrave.
(Mais je ne demande qu'à apprendre)

>  Je ne suis absolument pas un spécialiste de ce genre de choses. Il y
>  a sûrement beaucoup plus de possibilités. Ce qui est sûr, c'est que
>  system() est à proscrire. D'ailleurs, dans la documentation, c'est
>  bien précisé dans les notes :
>  https://www.php.net/manual/fr/function.system.php

Chouette !! De la lecture.

Merci de ton intervention.
 
>  Nicolas

Hugues.

Back to fr.comp.lang.python | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-08 21:54 +0100
  Re: integrer un script python a une page web Eric Demeester <neuneu@potiron.invalid> - 2020-02-09 12:19 +0100
    Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-09 22:32 +0100
    Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-13 23:19 +0100
      Re: integrer un script python a une page web Eric Demeester <neuneu@potiron.invalid> - 2020-02-14 07:38 +0100
        Re: integrer un script python a une page web Nicolas <nicolasp@aaton.com> - 2020-02-14 08:23 +0100
          Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-14 08:42 +0100
            Re: integrer un script python a une page web Nicolas <nicolasp@aaton.com> - 2020-02-14 11:02 +0100
              Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-14 22:13 +0100
                Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-14 22:24 +0100
                Re: integrer un script python a une page web Nicolas <nicolasp@aaton.com> - 2020-02-18 09:19 +0100
        Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-14 08:42 +0100
  Re: integrer un script python a une page web Jo Engo <yl@icite.fr> - 2020-02-09 13:37 +0000
    Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-14 21:50 +0100
  Re: integrer un script python a une page web Nicolas <nicolasp@aaton.com> - 2020-02-11 15:56 +0100
    Re: integrer un script python a une page web Lulu <lulu042@fry.fr.invalid> - 2020-02-13 23:27 +0100
      Re: integrer un script python a une page web Nicolas <nicolasp@aaton.com> - 2020-02-14 08:19 +0100

csiph-web