Discussion :

[sab_info]

Bonjour,

J'ai réalisé un site internet qui contient un formulaire de contact.

J'ai reçu aujourd'hui un message dans ma boite mail qui m'a été envoyé à partir de mon site qui contient :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Pseudo :    <script>alert(document.cookie);</script>    
Message :      <script>alert(document.cookie);</script>

ça veut dire quoi exactement ? est ce que c'est une attaque ?

Merci

[XxArchangexX]

Bonjour,

Oui c'est une attaque de type injection, la plus connue est l'injection SQL mais la c'est une injection javascript.

En validant ton formulaire si tu n'as pas protégé les champs, la personne a eu une fenêtre d'alert avec la valeur de document.cookie c'est à dire les nom => valeur des cookies de ton site.

C'est un problème plutôt gênant si tu stockes le mot de passe et le login utilisateur en cookie par exemple. Chaque champ de saisie d'un site que ce soit formulaire, recherche ou autre, doit être vue comme une porte sur les données du site.

Dans notre monde, tu ne vois aucune porte donnant sur une maison ou un bâtiment sans verrou ou alarme.

[sab_info]

Je te remercie pour ta réponse.

Alors moi normalement j'ai bien protégé les champs de mon formulaire avec des "htmlspecialchars";

Sinon qu'est ce que tu me conseilles de faire pour bien protéger mes formulaire ?

Merci

[XxArchangexX]

Il y a différentes visions de la chose :

1/ orienter la saisie de l'utilisateur. par exemple dans un champ "code postale" il ne peut y avoir que des chiffres et si c'est en France de 5 chiffres.

Ou dans un mail il n'y a pas de raison d'avoir des caractères comme < > / # même le ";", de nos jours personne ne l'utilise dans une phrase même quand il est nécessaire.

Mais ça peut perturber l'utilisateur d'être aussi guidé.

2/ Donner libre cours à l'imagination de l'utilisateur et tout nettoyer derrière.
- htmlentities(), htmlspecialchars().
-strip_tags()
-addslashes()

Le risque est de laisser passer un truc, il faut bien tester et valider les plus connues.

3/ Supprimer après saisie les caractères d'injection qui peuvent être du piratage (se baser sur un référentiel). Du coup il peut y avoir des choses très bizarre en base et diminuer la qualité des données.

Dans tous les cas le principe est de ne jamais utiliser ou se servir directement d'une donnée d'un input. Il faut toujours mettre une couche intermédiaire plus ou moins étudiée et solide.

edit : la tu as reçu le mail mais si tu as d'autre champ, tu peux mettre en place une fonction, si dans un input la fonction croise un "select,script,update,insert,delete,exec ..." tu écris dans un fichier la valeur et la date. Ca permet d'avoir une visibilité des attaques possibles de ton site.