Discussion :

[binco]

Bonjour

Niveau débutant

Mon travail fonctionne bien en local mais en ligne le code ne fonctionne pas
Après un entretien avec un technicien hébergeur le problème vient de la version PHP
Mon hébergeur est en PHP5.5
Aussi existe t-il un outils ou une astuce permettant de dire quel morceau de code n'est plus compatible avec la version du PHP
Question ... bête: est ce que la couleur du code dans notepad est un indice? htmlspecialchars, trim, str_replace sont en noir

Voici les morceau de code qu'il faut actualiser:
CODE1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
	$nom_lo 		= (isset($_POST['nom_lo']))?				htmlspecialchars(stripslashes(trim($_POST['nom_lo']))) : '';
	$prenom_lo		= (isset($_POST['prenom_lo']))?				htmlspecialchars(stripslashes(trim($_POST['prenom_lo']))) : '';
	$mail_lo 		= (isset($_POST['mail_lo']))?				htmlspecialchars(stripslashes(trim($_POST['mail_lo']))) : '';
	$message_lo 	= (isset($_POST['message_lo']))?			htmlspecialchars(stripslashes(trim($_POST['message_lo']))) : '';	
	$lang			= (isset($_POST['Form_Livreor_Submit']))?	htmlspecialchars(stripslashes(trim($_POST['Form_Livreor_Submit']))) : '';

CODE2:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<!-- PROTECTION FAILLE INCLUDE: securise include("session_form.php");
--------------------------------------------------------------- -->
<?php
//empty: détermine si une variable est vide
if (empty($page1)) {	
 $page1 = "session_form";
 // On limite l'inclusion aux fichiers.php en ajoutant dynamiquement l'extension
 $page1 = $page1.".php";
 // On enlève les éventuels espaces (trim)
 $page1 = trim($page1);
}
 
// On évite les caractères qui permettent de naviguer dans les répertoires
// str_replace: remplace toutes les occurrences dans une chaîne
$page1 = str_replace("../","protect",$page1);
$page1 = str_replace(";","protect",$page1);
$page1 = str_replace("%","protect",$page1);
 
// On interdit l'inclusion de dossiers protégés par htaccess
// preg_match: expression rationnelle standard
// if (preg_match("/admin/",$page1)) {		// / pour delimiter
// echo "Vous n'avez pas accès à ce répertoire";
// }
 
// else {
    // On vérifie que la page est bien sur le serveur
	// file_exists: vérifie si un fichier ou un dossier existe
    if (file_exists($page1) && $page1 != 'index.php') {
       include("./".$page1); 
    }
    else {
        echo "Page inexistante !";
    }
//	}
?>
<!-- --------------------------------------------------------------- -->

En effet, quand je remplace
* CODE1 par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$nom_lo= (isset($_POST['nom_lo'])) ? $_POST['nom_lo'] : ''; ... $lang= (isset($_POST['lang'])) ? $_POST['lang'] : '';

et
* CODE2 par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php include("session_form.php"); ?>

ça marche en ligne

Après lecture de documents (ça reste flou) je pense qu'il faut retravailler les htmlspecialchars:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$nom_lo			= (isset($_POST['nom_lo']))					?	htmlspecialchars(stripslashes(trim($_POST['nom_lo'])), ENT_QUOTES, 'UTF-8')		: '';
$prenom_lo		= (isset($_POST['prenom_lo']))				?	htmlspecialchars(stripslashes(trim($_POST['prenom_lo'])), ENT_QUOTES, 'UTF-8')	: '';
$mail_lo		= (isset($_POST['mail_lo']))				?	htmlspecialchars(stripslashes(trim($_POST['mail_lo'])), ENT_QUOTES, 'UTF-8')	: '';
$message_lo		= (isset($_POST['message_lo']))				?	htmlspecialchars(stripslashes(trim($_POST['message_lo'])), ENT_QUOTES, 'UTF-8')	: '';
$lang			= (isset($_POST['Form_Livreor_Submit']))	?	htmlspecialchars(stripslashes(trim($_POST['lang'])), ENT_QUOTES, 'UTF-8')		: '';

Mais pour le reste ... ??

Pouvez vous m'aider?

Cordialement

[sabotage]

Dans le code 2 remplace $page1 par $_GET['page1']

Retire egalement tout tes stripslashes.

[binco]

Merci

J'ai fais les modifications les contenus des includes s'affichent bien mais le formulaire ne marche pas
Je bloque ....
Pouvez vous m'aider?

COrdialement

Livredor.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
<!-- INCLUDE: PAGE SESSION (protection faille include)
*************************************-->
<?php
if (empty($_GET['page_1'])) {	
$_GET['page_1'] = "session_form_expo";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('session_form_expo' => 'session_form_expo.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_1'])) && (isset($pageOK[$_GET['page_1']])) ) {
    include($pageOK[$_GET['page_1']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<!-- INCLUDE: PAGE DOCTYPE (protection faille include)
*************************************-->
<?php
if (empty($_GET['page_2'])) {	
$_GET['page_2'] = "doctype";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('doctype' => 'doctype.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_2'])) && (isset($pageOK[$_GET['page_2']])) ) {
    include($pageOK[$_GET['page_2']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<title>Livre d'or</title>
 
<!-- INCLUDE: PAGE LINK (protection faille include)
*************************************-->
<?php
if (empty($_GET['page_3'])) {	
$_GET['page_3'] = "link";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('link' => 'link.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_3'])) && (isset($pageOK[$_GET['page_3']])) ) {
    include($pageOK[$_GET['page_3']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<body>
 
<div class="container">	
 
<!-- INCLUDE: PAGE ENTETE (protection faille include)
*************************************-->
<?php
if (empty($_GET['page4'])) {	
$_GET['page4'] = "entete";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('entete' => 'entete.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page4'])) && (isset($pageOK[$_GET['page4']])) ) {
    include($pageOK[$_GET['page4']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<!-- INCLUDE: PAGE MENU (protection faille include)
*************************************-->
<?php
if (empty($_GET['page5'])) {	
$_GET['page5'] = "menu";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('menu' => 'menu.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page5'])) && (isset($pageOK[$_GET['page5']])) ) {
    include($pageOK[$_GET['page5']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
	<br>
	<hr>
 
	<h1>Livre d'Or</h1>
 
 
	<div class="row">	
		<form id="form_francais" method="post" action="Livredor.php">
			<input type="hidden" name="antiF5" value="<?php echo $_SESSION['antiF5']; ?>" />			<!--eviter les post multiples suite à F5-->
		<div class="col-lg-4">
			<div class="form-group">
				<label for="idnom2">Nom* :</label>
				<input id="idnom2" type="text" name="nom_lo" value="<?php if(!$validForm_lo) echo $nom_lo; ?>" size="25" maxlength="25" placeholder="Votre nom" class="form-control" />
 
				<label for="idprenom2">Prénom* :</label>
				<input id="idprenom2" type="text" name="prenom_lo" value="<?php if(!$validForm_lo) echo $prenom_lo; ?>" size="25" maxlength="25" placeholder="Votre prénom" class="form-control" />
 
				<label for="idmail2">E-mail* :</label>
				<input id="idmail2" type="email" name="mail_lo" value="<?php if(!$validForm_lo) echo $mail_lo; ?>" size="25" maxlength="25" placeholder="Votre Email" class="form-control" />
			</div>
		</div>
		<div class="col-lg-8">
			<div class="form-group">
				<label for="idmessage">Message* :</label>
				<textarea id="idmessage" name="message_lo" rows="5" cols="47" placeholder="Ecrivez votre message (max 600 caractères)" class="form-control" maxlength="600"><?php if(!$validForm_lo) echo $message_lo; ?></textarea>
			</div>
		</div>
 
		<input type="submit" name="Form_Livreor_Submit" value="Envoyer" class="btn btn-default" />
		<i>(*) champs essentiels</i>
 
		<?php if(!empty($MsgErreur_lo)) { // erreur ? ?>
			<p class="erreur_champ_form_expo"><?php echo $MsgErreur_lo; ?></p>
		<?php } ?>
		</form>
	</div>
 
	<hr>
 
	<h1>Vos commentaires</h1>
 
	<div class="row">
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">Date</p></div>
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">Nom, prénom</p></div>
		<div class="col-lg-6"><p style="font-weight:bold; text-decoration: underline;">Message</p></div>
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">adresse IP</p></div>
	</div>
 
	<?php
		include_once('./connexion.php');
 
		//Preparer la requete
		$sql = 'SELECT * FROM formulaire_livreor WHERE afficher_lo=? ';	
		$requete2 = $connexion_bdd ->prepare($sql);
		//Associer des valeurs aux place holders
		$requete2->bindValue(1, 'oui', PDO::PARAM_STR);
 
		//Compiler et executer la requete
		$requete2->execute();
		//Recuperer toutes les donnees retournees
		foreach($requete2->fetchAll() as $donnee)
			{
				echo ('
					<div class="row">
						<div class="col-lg-2"><p>' . $donnee['date_lo'] . '</p></div>
						<div class="col-lg-2"><p>' . $donnee['nom_lo'] . '' . $donnee['prenom_lo'] . '</p></div>
						<div class="col-lg-6"><p>' . $donnee['message_lo'] . '</p></div>
						<div class="col-lg-2"><p>' . $donnee['ip_lo'] . '</p></div>
					</div>	
					');
			}
		//Clore la requete preparee
		$requete2 -> closeCursor();
		$requete2 = NULL;
	?>
 
	<br><br><br><br>	
 
<!-- INCLUDE: PAGE PIED DE PAGE (protection faille include)
*************************************-->
<?php
if (empty($_GET['page6'])) {	
$_GET['page6'] = "pied_de_page";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('pied_de_page' => 'pied_de_page.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page6'])) && (isset($pageOK[$_GET['page6']])) ) {
    include($pageOK[$_GET['page6']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
</div>
 
<!--Pour des questions de performance placer les appels aux librairies en fin de page avant </body> -->
<script src="jquery.js"></script>
 
<!-- INCLUDE: PAGE GOOGLE ANALYTICS (protection faille include)
*************************************-->
<?php
if (empty($_GET['page7'])) {	
$_GET['page7'] = "googleanalytics";
}
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('googleanalytics' => 'googleanalytics.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page7'])) && (isset($pageOK[$_GET['page7']])) ) {
    include($pageOK[$_GET['page7']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
</body>                                         
 
</html>

session_form_expo.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
<?php
 
session_start();
 
// IP du visiteur
	$ipvisiteur = $_SERVER["REMOTE_ADDR"];
	$date		= date ( "d/m/Y à H:i" );
 
// FORMULAIRE LIVRE OR	
 
// Initialisation des variables
	$nom_lo		= '';
	$prenom_lo		= '';
	$mail_lo		= '';
	$message_lo		= '';
	$validForm_lo	= true;
	$MsgErreur_lo	= '';
 
// TRAITEMENT SI FORMULAIRE SOUMIS
if(isset($_POST['Form_Livreor_Submit'], $_POST['antiF5'], $_SESSION['antiF5']) && $_POST['antiF5']==$_SESSION['antiF5'])
{
	// RECUPERATION des DONNEES
	$nom_lo 		= (isset($_POST['nom_lo']))?				htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$prenom_lo		= (isset($_POST['prenom_lo']))?				htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$mail_lo 		= (isset($_POST['mail_lo']))?				htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$message_lo 	= (isset($_POST['message_lo']))?			htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8')	: '';	
	$lang			= (isset($_POST['Form_Livreor_Submit']))?	htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$afficher_lo	='oui';
 
	htmlspecialchars($valeur,ENT_HTML401,'UTF-8') ;
 
	// champs obligatoires
	$champ_obligatoire = array();
	if ($nom_lo=='') 		{$validForm_lo = false;		$champ_obligatoire[] = 'Nom'; }
	if ($prenom_lo=='')		{$validForm_lo = false;		$champ_obligatoire[] = 'Prénom'; }
	if ($mail_lo=='')		{$validForm_lo = false;		$champ_obligatoire[] = 'E-mail'; }
	if ($message_lo=='')	{$validForm_lo = false;		$champ_obligatoire[] = 'Message'; }
 
	if(count($champ_obligatoire)>0) {$MsgErreur_lo 	.= 'Remplissez tous les champs obligatoires : '.implode(', ',$champ_obligatoire).'<br />';}
 
	// Vérification du format de l'Email
	if($mail_lo!='' && !filter_var($mail_lo, FILTER_VALIDATE_EMAIL)){
		$validForm_lo 	= false;
		$MsgErreur_lo 	.= 'Invalide E-mail!<br />';
	}
 
	// OK SI PAS D'ERREUR
	if($validForm_lo === true)
	{
		// ---------------------
		if($nom_lo!='' && $prenom_lo!='' && $mail_lo!='' && $message_lo!='')
		{
			// ECRITURE dans la table
			include_once('./connexion.php');
			//Preparer la requete
			$sql = 'INSERT INTO formulaire_livreor (nom_lo, prenom_lo, mail_lo, ip_lo, date_lo, message_lo, afficher_lo) VALUES (?, ?, ?, ?, ?, ?, ?)';
			$requete2 = $connexion_bdd ->prepare($sql);
			//Associer des valeurs aux place holders
			$requete2->bindValue(1, $nom_lo, PDO::PARAM_STR);
			$requete2->bindValue(2, $prenom_lo, PDO::PARAM_STR);
			$requete2->bindValue(3, $mail_lo, PDO::PARAM_STR);
			$requete2->bindValue(4, $ipvisiteur, PDO::PARAM_STR);
			$requete2->bindValue(5, $date, PDO::PARAM_STR);
			$requete2->bindValue(6, $message_lo, PDO::PARAM_STR);
			$requete2->bindValue(7, $afficher_lo, PDO::PARAM_STR);
 
 
			//Compiler et executer la requete
			$requete2->execute();
 
			//Clore la requete preparee
			$requete2 -> closeCursor();
			$requete2 = NULL;
		}
 
			if($lang=="Envoyer")
				{
					echo "<script type='text/javascript'>alert(\"Merci pour votre message!\\nL'affichage sera réalisé dans les prochains jours.\")</script>";
				}
			if($lang=="Send")
				{
					echo "<script type='text/javascript'>alert(\"Thank you for your message!\\nIt will be displayed in few days.\")</script>";
				}
 
		// On vide
		$nom_lo 	= '';
		$prenom_lo 	= '';
		$mail_lo 	= '';
		$message_lo = '';
	}
}
 
unset($_POST);
$_SESSION['antiF5'] = rand(100000,999999);
?>

Cordialement

[sabotage]

C'est quoi "ne marche pas" ?

[binco]

En local j'ai le message: Invalide E-mail!
Alors que je n'ai pas modifié la portion de code concernant l'email

[sabotage]

Tu as contrôlé ce que contenant $mail_lo au moment de l'erreur ?

[Bovino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$mail_lo = (isset($_POST['mail_lo'])) ? htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') : '';

Et ça t'étonne que ton mail ne soit pas valide ?
T'en connais beaucoup des personnes dont le nom de famille soit foo@bar.com ?

Ceci dit, le reste de ton code est truffé d'incohérences, par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
if (empty($_GET['page_1'])) {	
$_GET['page_1'] = "session_form_expo";
}
$pageOK = array('session_form_expo' => 'session_form_expo.php',);
if ( (isset($_GET['page_1'])) && (isset($pageOK[$_GET['page_1']])) ) {  // A quoi te sert cette condition puisque tu l'as contournée aux lignes précédentes ?
//...
}

[binco]

Merci

J'ai apporté vos modifs

Pour les includes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
<!-- INCLUDE: PAGE SESSION (protection faille include)
*************************************-->
<?php
 
$_GET['page_1'] = "session_form_expo";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('session_form_expo' => 'session_form_expo.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_1'])) && (isset($pageOK[$_GET['page_1']])) ) {
    include($pageOK[$_GET['page_1']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->

Au final:
- le formulaire marche en local
- en ligne il ne marche pas: quand je renseigne tous les champs et que j'appuie sur envoyer il ne se passe rien et la BBD mysql n'est pas enrichie d'un nouvel élément
Y a t il encore un morceau de code non compatible avec PHP5.5?
Est ce que ça peut être un caractère?


Livredor.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
<!-- INCLUDE: PAGE SESSION (protection faille include)
*************************************-->
<?php
 
$_GET['page_1'] = "session_form_expo";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('session_form_expo' => 'session_form_expo.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_1'])) && (isset($pageOK[$_GET['page_1']])) ) {
    include($pageOK[$_GET['page_1']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<!-- INCLUDE: PAGE DOCTYPE (protection faille include)
*************************************-->
<?php
 
$_GET['page_2'] = "doctype";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('doctype' => 'doctype.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_2'])) && (isset($pageOK[$_GET['page_2']])) ) {
    include($pageOK[$_GET['page_2']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<title>Livre d'or</title>
 
<!-- INCLUDE: PAGE LINK (protection faille include)
*************************************-->
<?php
 
$_GET['page_3'] = "link";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('link' => 'link.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page_3'])) && (isset($pageOK[$_GET['page_3']])) ) {
    include($pageOK[$_GET['page_3']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<body>
 
<div class="container">	
 
<!-- INCLUDE: PAGE ENTETE (protection faille include)
*************************************-->
<?php
 
$_GET['page4'] = "entete";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('entete' => 'entete.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page4'])) && (isset($pageOK[$_GET['page4']])) ) {
    include($pageOK[$_GET['page4']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
<!-- INCLUDE: PAGE MENU (protection faille include)
*************************************-->
<?php
 
$_GET['page5'] = "menu";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('menu' => 'menu.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page5'])) && (isset($pageOK[$_GET['page5']])) ) {
    include($pageOK[$_GET['page5']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
	<br>
	<hr>
 
	<h1>Livre d'Or</h1>
 
	<div class="row">	
		<form id="form_francais" method="post" action="Livredor.php">
			<input type="hidden" name="antiF5" value="<?php echo $_SESSION['antiF5']; ?>" />			<!--eviter les post multiples suite à F5-->
		<div class="col-lg-4">
			<div class="form-group">
				<label for="idnom2">Nom* :</label>
				<input id="idnom2" type="text" name="nom_lo" value="<?php if(!$validForm_lo) echo $nom_lo; ?>" size="25" maxlength="25" placeholder="Votre nom" class="form-control" />
 
				<label for="idprenom2">Prénom* :</label>
				<input id="idprenom2" type="text" name="prenom_lo" value="<?php if(!$validForm_lo) echo $prenom_lo; ?>" size="25" maxlength="25" placeholder="Votre prénom" class="form-control" />
 
				<label for="idmail2">E-mail* :</label>
				<input id="idmail2" type="email" name="mail_lo" value="<?php if(!$validForm_lo) echo $mail_lo; ?>" size="25" maxlength="25" placeholder="Votre Email" class="form-control" />
			</div>
		</div>
		<div class="col-lg-8">
			<div class="form-group">
				<label for="idmessage">Message* :</label>
				<textarea id="idmessage" name="message_lo" rows="5" cols="47" placeholder="Ecrivez votre message (max 600 caractères)" class="form-control" maxlength="600"><?php if(!$validForm_lo) echo $message_lo; ?></textarea>
			</div>
		</div>
 
		<input type="submit" name="Form_Livreor_Submit" value="Envoyer" class="btn btn-default" />
		<i>(*) champs essentiels</i>
 
		<?php if(!empty($MsgErreur_lo)) { // erreur ? ?>
			<p class="erreur_champ_form_expo"><?php echo $MsgErreur_lo; ?></p>
		<?php } ?>
		</form>
	</div>
 
	<hr>
 
	<h1>Vos commentaires</h1>
 
	<div class="row">
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">Date</p></div>
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">Nom, prénom</p></div>
		<div class="col-lg-6"><p style="font-weight:bold; text-decoration: underline;">Message</p></div>
		<div class="col-lg-2"><p style="font-weight:bold; text-decoration: underline;">adresse IP</p></div>
	</div>
 
	<?php
		include_once('./connexion.php');
 
		//Preparer la requete
		$sql = 'SELECT * FROM formulaire_livreor WHERE afficher_lo=? ';
		$requete2 = $connexion_bdd ->prepare($sql);
		//Associer des valeurs aux place holders
		$requete2->bindValue(1, 'oui', PDO::PARAM_STR);
 
		//Compiler et executer la requete
		$requete2->execute();
		//Recuperer toutes les donnees retournees
		foreach($requete2->fetchAll() as $donnee)
			{
				echo ('
					<div class="row">
						<div class="col-lg-2"><p>' . $donnee['date_lo'] . '</p></div>
						<div class="col-lg-2"><p>' . $donnee['nom_lo'] . '' . $donnee['prenom_lo'] . '</p></div>
						<div class="col-lg-6"><p>' . $donnee['message_lo'] . '</p></div>
						<div class="col-lg-2"><p>' . $donnee['ip_lo'] . '</p></div>
					</div>	
					');
			}
		//Clore la requete preparee
		$requete2 -> closeCursor();
		$requete2 = NULL;
	?>
 
	<br><br><br><br>	
 
<!-- INCLUDE: PAGE PIED DE PAGE (protection faille include)
*************************************-->
<?php
 
$_GET['page6'] = "pied_de_page";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('pied_de_page' => 'pied_de_page.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page6'])) && (isset($pageOK[$_GET['page6']])) ) {
    include($pageOK[$_GET['page6']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
</div>
 
<!--Pour des questions de performance placer les appels aux librairies en fin de page avant </body> -->
<script src="jquery.js"></script>
<script src="mon_script_agrandissement.js"></script>
 
<!-- INCLUDE: PAGE GOOGLE ANALYTICS (protection faille include)
*************************************-->
<?php
 
$_GET['page7'] = "googleanalytics";
 
// On définit le tableau contenant les pages autorisées
// ----------------------------------------------------
$pageOK = array('googleanalytics' => 'googleanalytics.php',);
 
// On teste que le paramètre d'url existe et qu'il est bien autorisé
// -----------------------------------------------------------------
if ( (isset($_GET['page7'])) && (isset($pageOK[$_GET['page7']])) ) {
    include($pageOK[$_GET['page7']]);   // Nous appelons le contenu de la page
} else {
    echo "Page inexistante !";   // Page qui n'existe pas
}
?>
<!-- *************************************-->
 
</body>                                         
 
</html>

session_form_expo.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
<?php
 
session_start();
 
// IP du visiteur
	$ipvisiteur = $_SERVER["REMOTE_ADDR"];
	$date		= date ( "d/m/Y à H:i" );
 
// FORMULAIRE LIVRE OR	
 
// Initialisation des variables
	$nom_lo		= '';
	$prenom_lo		= '';
	$mail_lo		= '';
	$message_lo		= '';
	$validForm_lo	= true;
	$MsgErreur_lo	= '';
 
// TRAITEMENT SI FORMULAIRE SOUMIS
if(isset($_POST['Form_Livreor_Submit'], $_POST['antiF5'], $_SESSION['antiF5']) && $_POST['antiF5']==$_SESSION['antiF5'])
{
	// RECUPERATION des DONNEES
	$nom_lo 		= (isset($_POST['nom_lo']))?				htmlspecialchars(trim($_POST['nom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$prenom_lo		= (isset($_POST['prenom_lo']))?				htmlspecialchars(trim($_POST['prenom_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$mail_lo 		= (isset($_POST['mail_lo']))?				htmlspecialchars(trim($_POST['mail_lo']), ENT_QUOTES, 'UTF-8') 	: '';
	$message_lo 	= (isset($_POST['message_lo']))?			htmlspecialchars(trim($_POST['message_lo']), ENT_QUOTES, 'UTF-8')	: '';	
	$lang			= (isset($_POST['Form_Livreor_Submit']))?	htmlspecialchars(trim($_POST['Form_Livreor_Submit']), ENT_QUOTES, 'UTF-8') 	: '';
	$afficher_lo	='oui';
 
	// champs obligatoires
	$champ_obligatoire = array();
	if ($nom_lo=='') 		{$validForm_lo = false;		$champ_obligatoire[] = 'Nom'; }
	if ($prenom_lo=='')		{$validForm_lo = false;		$champ_obligatoire[] = 'Prénom'; }
	if ($mail_lo=='')		{$validForm_lo = false;		$champ_obligatoire[] = 'E-mail'; }
	if ($message_lo=='')	{$validForm_lo = false;		$champ_obligatoire[] = 'Message'; }
 
	if(count($champ_obligatoire)>0) {$MsgErreur_lo 	.= 'Remplissez tous les champs obligatoires : '.implode(', ',$champ_obligatoire).'<br />';}
 
	// Vérification du format de l'Email
	if($mail_lo!='' && !filter_var($mail_lo, FILTER_VALIDATE_EMAIL)){
		$validForm_lo 	= false;
		$MsgErreur_lo 	.= 'Invalide E-mail!<br />';
	}
 
	// OK SI PAS D'ERREUR
	if($validForm_lo === true)
	{
		// ---------------------
		if($nom_lo!='' && $prenom_lo!='' && $mail_lo!='' && $message_lo!='')
		{
			// ECRITURE dans la table
			include_once('./connexion.php');
			//Preparer la requete
			$sql = 'INSERT INTO formulaire_livreor (nom_lo, prenom_lo, mail_lo, ip_lo, date_lo, message_lo, afficher_lo) VALUES (?, ?, ?, ?, ?, ?, ?)';
			$requete2 = $connexion_bdd ->prepare($sql);
			//Associer des valeurs aux place holders
			$requete2->bindValue(1, $nom_lo, PDO::PARAM_STR);
			$requete2->bindValue(2, $prenom_lo, PDO::PARAM_STR);
			$requete2->bindValue(3, $mail_lo, PDO::PARAM_STR);
			$requete2->bindValue(4, $ipvisiteur, PDO::PARAM_STR);
			$requete2->bindValue(5, $date, PDO::PARAM_STR);
			$requete2->bindValue(6, $message_lo, PDO::PARAM_STR);
			$requete2->bindValue(7, $afficher_lo, PDO::PARAM_STR);
 
 
			//Compiler et executer la requete
			$requete2->execute();
 
			//Clore la requete preparee
			$requete2 -> closeCursor();
			$requete2 = NULL;
		}
 
			if($lang=="Envoyer")
				{
					echo "<script type='text/javascript'>alert(\"Merci pour votre message!\\nL'affichage sera réalisé dans les prochains jours.\")</script>";
				}
			if($lang=="Send")
				{
					echo "<script type='text/javascript'>alert(\"Thank you for your message!\\nIt will be displayed in few days.\")</script>";
				}
 
		// On vide
		$nom_lo 	= '';
		$prenom_lo 	= '';
		$mail_lo 	= '';
		$message_lo = '';
	}
}
 
unset($_POST);
$_SESSION['antiF5'] = rand(100000,999999);
?>

[Bovino]

Mais tu comprends ce que tu fais ?
Ta modification, c'est l'inverse de ce qu'il aurait fallu faire !
Tu forces dans tous les cas les données GET à la valeur par défaut, alors c'est évident que quoi que l'utilisateur puisse renseigner, ça ne risque pas d'être pris en compte.

[binco]

Bovino tu me fais douter ...

Les includes que j'utilise sont des morceaux de code qui vont se retrouver dans toutes les pages de mon site (ça m’évite de retaper x fois le même code).
J'ai lu dans un tuto qu'ils présentaient des failles et que l'utilisateur pouvait afficher un autre contenu. Du coup je veux les "sécuriser" un peu.
Tu forces dans tous les cas les données GET à la valeur par défaut, alors c'est évident que quoi que l'utilisateur puisse renseigner, ça ne risque pas d'être pris en compte:
oui je ne veux pas que l'utilisateur puisse modifier le contenu de la page
Du coups est ce que je m'y prends bien?

[Bovino]

Je comprends rien à tes explications...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_GET['page_1'] = "session_form_expo";

A quoi peut bien servir d'affecter des valeurs à $_GET ?

[binco]

S'il te plait Bovino,

J'ai besoin de ton aide ... (validation ou correction avec explication)

Si je suis le tuto on a:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<!-- INCLUDE: PAGE SESSION (protection faille include)
*************************************-->
<?php
//empty: détermine si une variable est vide
if (empty($page1)) {	
 $page1 = "session_form_expo";
 // On limite l'inclusion aux fichiers.php en ajoutant dynamiquement l'extension
 $page1 = $page1.".php";
 // On enlève les éventuels espaces (trim)
 $page1 = trim($page1);
}
 
// On évite les caractères qui permettent de naviguer dans les répertoires
// str_replace: remplace toutes les occurrences dans une chaîne
$page1 = str_replace("../","protect",$page1);
$page1 = str_replace(";","protect",$page1);
$page1 = str_replace("%","protect",$page1);
 
    // On vérifie que la page est bien sur le serveur
	// file_exists: vérifie si un fichier ou un dossier existe
    if (file_exists($page1) && $page1 != 'index.php') {
       include("./".$page1); 
    }
    else {
        echo "Page inexistante !";
    }
//	}
?>
<!-- *************************************-->

Avec les conseils de sabotage ("remplace $page1 par $_GET['page1']") ça donne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<!-- INCLUDE: PAGE SESSION (protection faille include)
*************************************-->
<?php
//empty: détermine si une variable est vide
if (empty($_GET['page1'])) {	
 $_GET['page1'] = "session_form_expo";
 // On limite l'inclusion aux fichiers.php en ajoutant dynamiquement l'extension
 $_GET['page1'] = $_GET['page1'].".php";
 // On enlève les éventuels espaces (trim)
 $_GET['page1'] = trim($_GET['page1']);
}
 
// On évite les caractères qui permettent de naviguer dans les répertoires
// str_replace: remplace toutes les occurrences dans une chaîne
$_GET['page1'] = str_replace("../","protect",$_GET['page1']);
$_GET['page1'] = str_replace(";","protect",$_GET['page1']);
$_GET['page1'] = str_replace("%","protect",$_GET['page1']);
 
    // On vérifie que la page est bien sur le serveur
	// file_exists: vérifie si un fichier ou un dossier existe
    if (file_exists($_GET['page1']) && $_GET['page1'] != 'index.php') {
       include("./".$_GET['page1']); 
    }
    else {
        echo "Page inexistante !";
    }
//	}
?>
<!-- *************************************-->

[binco]

Travail embrouillé
Retour à la version initiale
Ça marche
Merci pour vos contributions