Forum TourDeJeu · Règles du forum | Aide Recherche Membres |
Bienvenue invité ( Connexion | Inscription ) | Recevoir à nouveau l'email de validation |
Sybler |
Ecrit le : Lundi 27 Novembre 2006 à 06h56
|
||
Ouf Groupe : Membre Messages : 453 |
Hum, juste pour confirmer, si dans mon code j'ai:
est-ce qu'il y a un risque pour la sécurité du site ? Il s'agit vraiment et uniquement d'un echo, rien dans une requête MySQL... Quand même que le visiteur va mettre tout le javascript qu'il voudra, ca ne compromet pas plus la sécuriter que de sauvegarder un formulaire et de le modifier non ? -------------------- |
||
gotrunko |
Ecrit le : Lundi 27 Novembre 2006 à 10h13
|
Kid Groupe : Membre Messages : 46 |
Pour protéger les $_GET
fais plutot <?php $erreur=addslashes($_GET["erreur"]); $erreur=str_replace("<","<",$erreur); echo $erreur; ?> Logiquement je ne me souviens plus trop de l'écrire (c'est le matin faut pas trop m'en demander ), faut changer les < en code html, et mettre des \ pour éviter les caractères spéciaux ^^ jepense que le str_replace sufft. -------------------- |
Haram turval |
Ecrit le : Lundi 27 Novembre 2006 à 11h19
|
Pro Groupe : Membre Messages : 126 |
A mon avis, l'essentiel est d'être sur que la variable d'erreur ne contient aucune information sensible principalement,
- la base de données (les Messages d'erreur renvoient en général une partie de la syntaxe SQL dévoilant ainsi une partie des noms des champs de la base) - les variables de session (nom, contenu, etc) C'est tout l'intéret d'avoir un système d'erreur encapsulé qui récupére l'erreur, envoie une notification à l'Admin du site (avec le plus de détails possible sur l'erreur) et redirige l'utilisateur vers une page neutre lui informant d'une erreur (avec plus ou moins de précision sur la cause de cette erreur selon les cas). -------------------- Tant va la cruche à l'eau qu'à la fin elle est mouillée.
|
Guest |
Ecrit le : Lundi 27 Novembre 2006 à 22h35
|
Unregistered |
Vous creusez trop... ma question est beaucoup plus simple que ca.
MEME si l'utilisateur décide de mettre un iframe avec un site porno dedans dans le paramêtre GET, qui pour l'exemple n'a AUCUNE validation de quelque sorte que ce soit. Ca change quoi ? il sera le seul à être affecté par cet incroyable "hack" non ? J'ai une page, avec le code suivant: echo $_GET["erreur"]; Je dois m'attendre à craindre quoi ? |
|
L_abruti |
Ecrit le : Mardi 28 Novembre 2006 à 05h29
|
Kid Groupe : Membre Messages : 19 |
Tu peux t'attendre à du "Hey, vas sur url?erreur=<iframe src="url2"></iframe>". Avec dans url2 de jolis petits script pour récupérer des cookies, ce qui se trouve dans le presse-papier si l'utilisateur utilise IE et tout ce qui est possible et imaginable avec une simple page. Si l'utilisateur le fait sur lui même, ça ne fait rien. Mais dés qu'il commence à donner ses liens bidouillés et que des gens les suivent, ils peuvent se faire emmerder.
|
wells |
Ecrit le : Mardi 28 Novembre 2006 à 11h27
|
Pro Groupe : Membre Messages : 143 |
Bah tu crains pas grand chose je pense. Si tu peux évité d'en faire, mais bon la capacité de nuisance reste trés limités je pense.
-------------------- |
Sybler |
Ecrit le : Jeudi 30 Novembre 2006 à 07h02
|
||
Ouf Groupe : Membre Messages : 453 |
Point intéressant. J'ajouterais : - Mais il pourrait aussi bien monter son propre site - Est-ce que le fait que le lien commence par www.cybercity2034.com va suffire à ce que plusieurs ne se posent pas de question - Si la valeur est simplement passé en POST plutot qu'en GET, on diminue raisonnablement le niveau de risque ? -------------------- |
||
L_abruti |
Ecrit le : Samedi 02 Décembre 2006 à 02h02
|
Kid Groupe : Membre Messages : 19 |
Le mieux est d'utiliser htmlentities pour virer tout ce qui est balise.
|
Sybler |
Ecrit le : Mardi 05 Décembre 2006 à 21h02
|
Ouf Groupe : Membre Messages : 453 |
ouais, t'inquiète pas, je sais...
je voulais juste approfondir le concept même de faire ce genre de truc coté sécurité. Merci pour vos commentaires -------------------- |