Discussion :

[abc.xyz]

Bonjour,

je dois sécuriser un formulaire contre les attaques.

Voici mon code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
 
function securise($texte){
	return htmlentities($texte, ENT_QUOTES);
}
 
if(isset($_POST["nom"]) and isset($_POST["prenom"]) and isset($_POST["email"])  and isset($_POST["sujet"]) and isset($_POST["message"])and !empty($_POST["nom"])  and !empty($_POST["email"]) and !empty($_POST["message"])){
 
    if(!filter_var($_POST["email"], FILTER_VALIDATE_EMAIL)){
		header('Location: contact.php?message=email&nom='.$_POST['nom'].'&prenom='.$_POST['prenom'].'&email='.$_POST['email'].'&telephone='.$_POST['telephone'].'&sujet='.$_POST['sujet'].'&demande='.$_POST['message']);
		exit();
	}
 
	$nom = securise($_POST['nom']);
	$prenom = securise($_POST['prenom']);
	$email = securise($_POST['email']);
	$sujet = securise($_POST['sujet']);
        $message = securise(utf8_encode($_POST['demande']));
 
	$headers = 'From:'.$prenom." ".$nom.' <'.$email.'>' . "\r\n" .
					'Reply-To:'.$email. "\r\n" ;
 
 
    mail('exemple@yahoo.fr', $sujet, $message, $headers);
    header('Location: contact.php?message=ok');
 
....

Le problème est que lorsque je teste l'envoi du mail il n'y a dans le mail d'arrivée ni le nom et prénom de l'expéditeur ni le sujet du message alors que ces informations y sont si je supprime la fonction securise.

Merci

[ocalik]

Bonjour,

Effectivement cela est bizarre je trouve,
Pouvez vous faire un var_dump de la variable $headers avec et sans la fonction securise ?

La fonction htmlentities() renvoie une chaine de caractere qui formate mal la variable $headers, ce qui explique la non présence des sujet/nom/prenom.

[abc.xyz]

Je ne comprends pas le var_dump sur $headers avec securise ne donne pas de problème le nom et prénom etc sont bien affichés, c'est donc au niveau de la fonction mail que cela ne passe pas je ne sais pas pourquoi.

[ocalik]

Rebonjour,

Faire un var_dump sur la variable $headers signifie juste d'utiliser la fonction var_dump qui permet de voir le contenu d'une variable.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
//A mettre juste aprèss l'initialisation de la variable
var_dump($headers);

d'un autre côté, si avec la fonction securise, la fonction mail ne fonctionne pas, et si sans il n'y a pas de soucis, c'est que les données qui sont formaté par la fonction securise posent probleme, ce n'est pas la fonction mail() qui est en tort.

C'est pour cela essaye de voir le contenu des variables avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var_dump($headers);

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var_dump($sujet);

avec et sans la fonction securise afin de voir les différences.

[abc.xyz]

le var_dump sur $headers et $sujet affiche la même chose au niveau du contenu des variables que ce soit avec ou sans securise alors que c est le type de la variable qui change avec securise ou sans securise:
c'est string(12) pour $sujet avec securise string(5) pour $sujet sans securise string(86) pour $headers avec securise et string(72) pour $headers sans securise

[ocalik]

Alors c'est qu'il y a effectivement un changement :
Sans securise :
$headers = string(72)
$sujet = string(86)

Avec Securise :
$headers = string(12)
$sujet = string(5)

Pour information String(xx), signie une chaine de caractere composé de xx caractères.
Ta fonction securise() tronque completement tes variables, ca explique que ca ne passe pas dans la fonction mail()
Pourrais tu faire un copier/coller de tes var_dump() ?