Forum Programmation.web faille cgi .???

Posté par  .
Étiquettes :
0
15
mai
2005
Bonjour tout le monde ...

Je me pose une petite question. Voila j'ai toujours bosser sur des sites qu'en php et je voulait changer un peu en faisant des script cgi car j'ai aucune expérience sur ce genre de programmation. Car on ma dit tant de choses sur les scripts cgi au niveau de la sécurité et des failles.
Mais maitenant avec un peu plus d'expérience dans le web je me dit (après mètre documenté un peu sur google) pourquoi les script cgi serait plus dangereux que les script php .??
Bon d'accord avec un script cgi on peut taper des commandes directement sur l'OS c'est sur c'est plus dangereux qu'un script php mais l'utilisateur est un utilisateur restreint avec un bonne sécurité au niveau programmation ou peut être la faille .??? Car j'ai remarqué que les principales failles des sites web étaient liée à une mauvaise programmation ... A moins que les scripts cgi liées avec le web est des failles spécifiques que l'on ne peut pas gérer mais je vois pas pourquoi ...
Si quelqu'un pouvais m'expliquer un peut, ça m'aiderais bien ...
Merci d'avance.
Bash'

  • # Précisions

    Posté par  . Évalué à 9.

    Hello,

    pourquoi les script cgi serait plus dangereux que les script php .??

    CGI est une norme d'interfaçage entre serveurs http et programmes externes. Et php peut-être interfacé en CGI avec peu de différences dans son fonctionnement par rapport au module apache classique... tu as donc sûrement déjà fait des "scripts CGI".

    Notes bien que CGI n'est pas spécifique à un langage, derrière cette notion on peut faire indifféremment du php, perl, python, shell, C/C++ compilé, du ruby, ou meme une combinaison de plusieurs langages...

    Donc comparer la sécurité de scripts PHP avec celle de "scripts CGI" n'a pas trop de sens.

    Je te conseille la lecture de la norme : http://hoohoo.ncsa.uiuc.edu/cgi/intro.html(...) (en anglais)

  • # la différence vient du langage

    Posté par  . Évalué à 4.

    Effectivement, les CGI ont tendance à faire des failles de sécurité. En effet les CGI laissent énormémént de libertées, notamment sur la langage utilisé, les fonctions ....
    Tu peux par exemple faire tes CGI en C => beaucoup de possibilités de failles sur les chaines de caractères, en script shell => Incontrolable au niveau de la sécurité....

    A l'inverse le php, est un langage orienté WEB où toutes les fonctions qui sevent généralement pour le WEB son préprogrammées et étudiés pour offrir un maximum de sécurité, et n'a finalement que peu de possibilités (à comparer avec le C).

    On peut dire que les CGI ne sont pas forcement des failles de sécurités, mais du fait de la grande liberté que l'on a, elles peuvent le devenir très facilement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.