Closed syji35 closed 1 month ago
Pour information, Voici les corrections apportées au code suite au rapport ci-dessus.
Script | Utilisé dans | Injections SQL | XSS via SQLi | Logs erreurs PHP | Logs console | Observations | |
---|---|---|---|---|---|---|---|
/data/getAcheteur.php | n/a | n/a | n/a | n/a | Les logs console ont été supprimés sur toute l'application | Non utilisé. Déplacé à _src | |
/data/getAcheteurs.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
/data/getAcheteursJSON.php | n/a | n/a | n/a | n/a | Non utilisé. Déplacé à _src | ||
/data/getCSVTreeMap.php | n/a | n/a | n/a | n/a | Non utilisé. Déplacé à _src | ||
/data/getListAcheteurs.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
/data/getListAcheteursEtendue.php | acheteurs | n/a | htmlspecialchars() | error_reporting(0) | |||
/data/getListTitulaires.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
/data/getListTitulairesEtendue.php | fournisseurs | n/a | htmlspecialchars() | error_reporting(0) | Suppression de guillemets car cassent le htmlspecialchars | ||
/data/getMarche.php | n/a | OK (POST) | n/a | error_reporting(0) | Non utilisé. Déplacé à _src | ||
/data/getMarcheJSON.php | acheteurs | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
/data/getRecherche.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
/data/getRecherche-group.php | recherche-plus | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
/data/getTitulaire.php | n/a | OK (POST) | htmlspecialchars() | error_reporting(0) | Non utilisé. Déplacé à _src | ||
/data/getTitulaires.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
/data/getTypeMarche.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
/data/lieux.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
/data/lieuxCSV.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
/data/lieuxJson.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
/recherche.php | soi-même | n/a | n/a | via head.php | Suppression info UI concernant la recherche multiple de codes CPV et d'objets | ||
/inc/head.php | soi-même | n/a | n/a | error_reporting(0) | Empêche l'affichage des erreurs PHP sur les pages hors API | ||
/acheteur.php | soi-même | n/a | n/a | via head.php | |||
/index.php | soi-même | n/a | n/a | via head.php | |||
/acheteurs.php | soi-même | n/a | n/a | via head.php | |||
/inc/plotly-layouts-fonctions.php | tout le front | n/a | n/a | via head.php | |||
/js/recherche.php | soi-même | n/a | n/a | via head.php | |||
/js/recherche-plus.php | soi-même | n/a | n/a | via head.php | |||
/territoire.php | soi-même | n/a | n/a | via head.php | |||
/titulaire.php | soi-même | n/a | n/a | via head.php | |||
/titulaires.php | soi-même | n/a | n/a | via head.php | |||
/widget-acheteur-distrib-temporelle.php | soi-même | n/a | n/a | via head.php | |||
/widget-acheteur-qui-realise.php | soi-même | n/a | n/a | via head.php | |||
/widget-acheteur-tous-marches.php | soi-même | n/a | n/a | via head.php |
Suite à l'analyse de code avec codacy, retirer dans les fichiers PHP l'utilisation des $_GET.
Pour corriger, préférer l'utilisation de filter-input