Discussion :

[Raydoun]

Salut,

Nous développons un code JavaScript pour un projet qui doit nous permettre de modifier le mot de passe d'un utilisateur en utilisant une faille XSS.
Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
var id_membre = get_id();
alert('id membre=' + id_membre);
 
function get_id()
{
    var xhr_object = null;
    //déclaration de l'objet xhr_object
 
    var methode = 'GET';
    var page = './profil.php';
    xhr_object.open(methode, page, true);
    xhr_object.onreadystatechange = function()
    { 
        if(xhr_object.readyState == 4)
        {
            if(xhr_object.status == 200)
            {
                var ancre1 = xhr_object.responseText.indexOf('<input type="hidden" name="id" value="');
                var ancre2 = xhr_object.responseText.indexOf('" />', ancre1);
                var id = xhr_object.responseText.substring(ancre1+38, ancre2);                
		return id;
            }
            else { }
        }
        else {}
    };
    xhr_object.send(null);
}

J'ai trouvé que le problème viendrait du caractère asynchrone de l'exécution car tout est exécuté en même temps et Javacript n'attend pas de recevoir les retours des différentes sous-fonctions pour avancer.
Ainsi, lors de l'exécution, le script renvoie "undefined" comme valeur pour le paramètre "id_membre" sans attendre le retour du substring. Savez-vous comment résoudre ce problème simplement ?
Merci d'avance de vos réponses

[Bovino]

Un classique AJAX : utiliser les données au bon moment !

[Raydoun]

D'accord, si j'ai bien compris, ici JavaScript n'attend que la connexion avec le serveur soit bien établie pour continuer l'exécution du code, et va donc sortir de la boucle if, avant qu'une valeur ne soit affecter au paramètre id et la fonction renvoie donc undefined.
Y a-t-il un moyen d'attendre que cette connexion soir établie afin d'être sur que quelque chose a été affecté à id ?
Peut être passer le true à false dans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

xhr_object.open(methode, page, true);

Je vous remercie de votre aide.

[Invité]

Bonjour,
Non je crois que Bovino voulait te pousser a réorganiser
ton code en te disant d'aller voir OU mettre QUOI !
Pourquoi ne fais tu pas un html différent

Tu devrais avoir le FORM de saisie, directement dans ton HTML
il serait alors du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<form id='LeForm' name='LeForm'  method='post' onsubmit="get_id(this.id.value);return false" action='' >

Et dans le AJAX tu affiche l'Alerte lorsque la reponse est 200

Postes nous ton nouveau code si tu as un probléme
Christele