Utilisation de method="GET" [Résolu]

thib3113 · 29/09/2011, 10h12

Bonjour, en voulant dévéllopé une recherche interne pour mon site je me heurte à un problème de faille que j'aimerais résoudre, ma recherche fonctionne avec un <form method="GET"> qui transmet donc les données par l'url , sauf que je crains les failles XSS et Mysql , j'aurais voulu savoir comment les évitée , un simple htmlspecialchars() suffit t'il ? en utilisant cette fonction, j'ai un x= ... et un y=... qui apparaisse dans l'url, à quoi servent t'ils, et comment les utilisez ?

merci d'avance

Marc3001 · 29/09/2011, 10h47

Je ne peux que te conseiller un peu de lecture ici.

thib3113 · 29/09/2011, 14h31

merci, j'ai donc lu ce que tu m'as donné mais je n'ai pas trouvé pourquoi il existe : &x=0&y=0 dans mon url (les 0 sont des exemples )

Marc3001 · 29/09/2011, 14h34

Le lien que je t'ai fournit répondait à ta question sur comment sécuriser tes traitements de failles XSS ou injection SQL.

Concernant ton souci de x= et y=, sans voir ton code, ça va être compliqué de t'aider....

thib3113 · 29/09/2011, 16h23

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<form action="search_site.php" method="get" style="float:right;margin-top:8px;margin-right:30px;" >
<p><input value="Recherche..." onclick="if(this.value==\'Recherche...\')this.value=\'\';" onblur="if(this.value==\'\')this.value=\'Recherche...\';" name="requete" type="text" size="20px" />
<input style="float:right;" type="image" src="img/site/blue/recherche.png" /><br />
<a href="search_site.php">Recherche avancée</a></p>
</form>

et cela donne comme url

monsite/search_site.php?requete=A&x=0&y=0

( 0 et A n'étant là que pour l'exemple )

Marc3001 · 29/09/2011, 16h38

T'aurais le code html généré par ton bout de code php?

EDIT : Oups pardon, c'est la fin de journée.... Ne tiens pas compte de ma question, j'regarde...

Marc3001 · 29/09/2011, 16h45

J'vois rien de bizarre. Comment tu la submit ta form?

thib3113 · 29/09/2011, 16h51

avec l'input sous forme d'image :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input style="float:right;" type="image" src="img/site/blue/recherche.png" />

Marc3001 · 29/09/2011, 17h17

Un input de type image submit la form et ajoute les coordonnées du pixel cliqué sur l'image via les paramètres x et y.

Cela est donc le comportement normal d'un input image.

thib3113 · 29/09/2011, 18h10

Ah ben, je ne connaissais pas ce comportement de l'input image, merci de ton aide

29/09/2011, 10h12	#1
thib3113 Candidat au titre de Membre du Club thibaut languevin Étudiant Inscription : juillet 2011 Messages : 31 Détails du profil Informations personnelles : Nom : thibaut languevin Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Étudiant Secteur : Industrie Informations forums : Inscription : juillet 2011 Messages : 31 Points : 11 Points : 11	Utilisation de method="GET" Bonjour, en voulant dévéllopé une recherche interne pour mon site je me heurte à un problème de faille que j'aimerais résoudre, ma recherche fonctionne avec un <form method="GET"> qui transmet donc les données par l'url , sauf que je crains les failles XSS et Mysql , j'aurais voulu savoir comment les évitée , un simple htmlspecialchars() suffit t'il ? en utilisant cette fonction, j'ai un x= ... et un y=... qui apparaisse dans l'url, à quoi servent t'ils, et comment les utilisez ? merci d'avance
	00

29/09/2011, 10h47	#2
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	Je ne peux que te conseiller un peu de lecture ici. __________________ Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre. Linus Torvalds
	10

29/09/2011, 14h34	#4
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	Le lien que je t'ai fournit répondait à ta question sur comment sécuriser tes traitements de failles XSS ou injection SQL. Concernant ton souci de x= et y=, sans voir ton code, ça va être compliqué de t'aider.... __________________ Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre. Linus Torvalds
	10

29/09/2011, 16h38	#6
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	T'aurais le code html généré par ton bout de code php? EDIT : Oups pardon, c'est la fin de journée.... Ne tiens pas compte de ma question, j'regarde... __________________ Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre. Linus Torvalds
	10

29/09/2011, 16h45	#7
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	J'vois rien de bizarre. Comment tu la submit ta form? __________________ Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre. Linus Torvalds
	10

29/09/2011, 14h31	#3
thib3113 Candidat au titre de Membre du Club thibaut languevin Étudiant Inscription : juillet 2011 Messages : 31 Détails du profil Informations personnelles : Nom : thibaut languevin Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Étudiant Secteur : Industrie Informations forums : Inscription : juillet 2011 Messages : 31 Points : 11 Points : 11	merci, j'ai donc lu ce que tu m'as donné mais je n'ai pas trouvé pourquoi il existe : &x=0&y=0 dans mon url (les 0 sont des exemples )
	00

29/09/2011, 16h51	#8
thib3113 Candidat au titre de Membre du Club thibaut languevin Étudiant Inscription : juillet 2011 Messages : 31 Détails du profil Informations personnelles : Nom : thibaut languevin Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Étudiant Secteur : Industrie Informations forums : Inscription : juillet 2011 Messages : 31 Points : 11 Points : 11	avec l'input sous forme d'image : Code : Sélectionner tout - Visualiser dans une fenêtre à part <input style="float:right;" type="image" src="img/site/blue/recherche.png" />
	00

29/09/2011, 17h17	#9
Marc3001 Membre chevronné Ingénieur développement logiciels Inscription : février 2008 Messages : 430 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : février 2008 Messages : 430 Points : 682 Points : 682	Un input de type image submit la form et ajoute les coordonnées du pixel cliqué sur l'image via les paramètres x et y. Cela est donc le comportement normal d'un input image. __________________ Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre. Linus Torvalds
	00

29/09/2011, 18h10	#10
thib3113 Candidat au titre de Membre du Club thibaut languevin Étudiant Inscription : juillet 2011 Messages : 31 Détails du profil Informations personnelles : Nom : thibaut languevin Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Étudiant Secteur : Industrie Informations forums : Inscription : juillet 2011 Messages : 31 Points : 11 Points : 11	Ah ben, je ne connaissais pas ce comportement de l'input image, merci de ton aide
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email