bonsoir tous
je suis en train d’implémenter la faille du CSRF du php sur ma machine. donc j'ai crée une interface d’authentification qui rederige après vers une page pour changer le password (exemple à choisir) puis j'ai crée une page change.html qui porte les même champ de la page changer password.
après l’exécution j'ai aucun erreur à afficher mais la mise à jour de password ne s’affecter pas dans ma BD , j'en sais pas pourquoi!.
le code du change.php
change.html
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49 <?php include("../db.php"); session_start(); if(isset($_POST["pass"]) && isset($_POST["conf_pass"])){ $o=$_POST["pass"]; $pass=$_POST["conf_pass"]; if($o==$pass){ if(isset($_SESSION['id'])){ mysqli_query($connection,"UPDATE comptes set password=$pass WHERE id='".$_SESSION['id']."'"); echo "<center><strong>votre password bien changé</strong></center>"; } }else { echo "votre password n'est pas identique"; } } mysqli_close($connection); ?> <html> <head> <title>changer password</title> <meta charset="utf-8"> </head> <body> <center> <br> <br> <form method="POST" action="change.php"> nouveau password <br> <input type="text" name="pass"/> <br> <br> confirmé le password: <br> <input type="text" name="conf_pass"/> <br><br> <input type="submit" name="bn" value="confirmé"> </form> </center> </body> </html>
j'ai fais un test avant la requete avec la variable var_dump et j'ai que la passowrd sera "hacked" comme elle se trouve dans "value =''hacked'". mais la mise à jour ne sera jamais effectuer sur la BD.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11 <form method="POST" action="change.php"> <input type="hidden" name ="pass" value="hacked" > <br> <input type="hidden" name="conf_pass" value="hacked" > </div> <button type="submit" name="con">click here to be continue</button> </form>
merci de m'aider pour fonctionner ce code
Partager