IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

[SQL] head dynamique & sql


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre régulier
    Inscrit en
    Novembre 2006
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Novembre 2006
    Messages : 9
    Par défaut [SQL] head dynamique & sql
    Bonjour,

    A partir d'une liste je fais apparaitre les photos relatif à une espèce.
    Les pages sont en php, le paramètre est numérique pour permettre "rewrite".

    En fonction du paramètre, je veux renseigner title & metatag après récupération des données dans une base SQL.
    Malheureusement si je mes le code php dans <head> j'ai une autre entête head qui est généré automatiquement :
    <html>
    <head>
    <title>Titre</title>
    </head>

    Comment faire pour éviter cela ?

  2. #2
    Membre confirmé Avatar de rougedragon
    Inscrit en
    Septembre 2006
    Messages
    132
    Détails du profil
    Informations personnelles :
    Âge : 55

    Informations forums :
    Inscription : Septembre 2006
    Messages : 132
    Par défaut
    moi j'ai un truc comme ça
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    <?php
    	if(isset($_REQUEST["link"])){
    $link=$_REQUEST["link"];
    }else{
    $link="intro";
    }
    $title=$link."meta.php";
    if(file_exists($title))
    {
    include ("$title");
    }
    else
    {
    include ('intrometa.php');
    }
    et je n'ai pas de problème même dans les balises head.

  3. #3
    Membre émérite
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Juin 2003
    Messages
    910
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2003
    Messages : 910
    Par défaut grosse faille
    On ne met jamais de variables dans un include!!! Rien de mieux pour se faire défacer un site!!!

  4. #4
    Membre confirmé Avatar de rougedragon
    Inscrit en
    Septembre 2006
    Messages
    132
    Détails du profil
    Informations personnelles :
    Âge : 55

    Informations forums :
    Inscription : Septembre 2006
    Messages : 132
    Par défaut
    Salut,

    pour la sécurité, je vérifie que le fichier existe sur le serveur.
    ( j'ai déjà été défacé ).
    Je voulais juste lui dire que l'introduction de code dans les balises head ne pose pas de pb.

    A +

  5. #5
    Membre confirmé Avatar de rougedragon
    Inscrit en
    Septembre 2006
    Messages
    132
    Détails du profil
    Informations personnelles :
    Âge : 55

    Informations forums :
    Inscription : Septembre 2006
    Messages : 132
    Par défaut
    pour les requêtes sql, tu les fais avant la balise html. Tu stockes les vars et tu les affiches après.

    A +

  6. #6
    Membre régulier
    Inscrit en
    Novembre 2006
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Novembre 2006
    Messages : 9
    Par défaut
    C'est ce que je fais, mais dans la page html générée, j'ai automatiquement un <head><tittle> etc qui est créé

  7. #7
    Membre éclairé
    Avatar de titoon
    Profil pro
    Inscrit en
    Janvier 2005
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : Janvier 2005
    Messages : 71
    Par défaut
    Citation Envoyé par rougedragon
    pour la sécurité, je vérifie que le fichier existe sur le serveur.
    Et ? Si $fichier = "/etc/passwd" ou $fichier = "../../etc/passwd" ? Les fichiers existent, non ?
    Il me semble qu'il y a un article sur les "pseudo-frames" dans la FAQ...

    Citation Envoyé par baladeornitho
    C'est ce que je fais, mais dans la page html générée, j'ai automatiquement un <head><tittle> etc qui est créé
    Tu as probablement un problème dans la structure HTML. Qu'est-ce que tu as après le code généré automatiquement par le browser (après le <head><title> etc) ?

  8. #8
    Membre régulier
    Inscrit en
    Novembre 2006
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Novembre 2006
    Messages : 9
    Par défaut Head dynamique & sql
    Indirectement, merci du conseille, tu m'as mis la puce à l'oreille et avec un test basique j'ai trouvé !
    => Voilà ce qui arrive qu'en on commence php s'en trop connaître html et sans comprendre tout ce que l'on fait !
    => J'avais en faite des balises dans connect.php

    Que de temps perdu mais bon j'ai appris plein de chose qui me seront s'en doute utile plus tard

  9. #9
    Membre confirmé Avatar de rougedragon
    Inscrit en
    Septembre 2006
    Messages
    132
    Détails du profil
    Informations personnelles :
    Âge : 55

    Informations forums :
    Inscription : Septembre 2006
    Messages : 132
    Par défaut
    Citation Envoyé par titoon
    Et ? Si $fichier = "/etc/passwd" ou $fichier = "../../etc/passwd" ? Les fichiers existent, non ?
    Il me semble qu'il y a un article sur les "pseudo-frames" dans la FAQ...
    Justement j'ai lu le tuto. Pourrais tu développer ??
    Je croyais être couvert par
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    $title=$link."meta.php";
    if(file_exists($title))
    A+

  10. #10
    Membre émérite
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Juin 2003
    Messages
    910
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2003
    Messages : 910
    Par défaut ça empêche rien
    Citation Envoyé par rougedragon
    Salut,

    pour la sécurité, je vérifie que le fichier existe sur le serveur.
    ( j'ai déjà été défacé ).
    Je voulais juste lui dire que l'introduction de code dans les balises head ne pose pas de pb.

    A +
    Si je saisis l'adresse:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    http://URL/index.php?$link=URLHACK
    et qu'à cette URLHACK il y a un fichier qui s'appelle meta.php, alors ton if validera l'existence et l'internaute se retrouvera sur le site où il pourra se faire pirater son login et password ou tout autre renseignement qu'il pourrait saisir en se croyant sur le site officiel.

  11. #11
    Membre confirmé Avatar de rougedragon
    Inscrit en
    Septembre 2006
    Messages
    132
    Détails du profil
    Informations personnelles :
    Âge : 55

    Informations forums :
    Inscription : Septembre 2006
    Messages : 132
    Par défaut
    Dans mon esprit, si tu tapes URLHACK, je lui rajoute meta.php (aurais tu omis le point de concaténation ?? ) donc ça veut dire que le hacker saurais déjà que je rajoute meta.php à tous mes fichiers.

    J'ai essayé de taper une autre url pour tester mais peut être que je l'ai mal fait. Je sais que le hacker est revenu sur mon site mais pour l'instant il n'a pas refait sa bidouille. Alors je pensais être tranquille de se coté.

    A+

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. SQL Dynamique Vs SQL pas dynamique
    Par leftyy dans le forum PL/SQL
    Réponses: 1
    Dernier message: 09/06/2010, 15h55
  2. [PL/SQL] Curseur dynamique
    Par dcollart dans le forum Oracle
    Réponses: 2
    Dernier message: 09/11/2009, 10h08
  3. tri "dynamique" en SQL
    Par yrogerg_d dans le forum Oracle
    Réponses: 4
    Dernier message: 07/06/2006, 16h22
  4. Réponses: 1
    Dernier message: 17/03/2006, 07h21
  5. [pb requête sql] Requête dynamique
    Par viny dans le forum PostgreSQL
    Réponses: 6
    Dernier message: 15/09/2005, 12h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo