Discussion :

[nborde]

Bonjour,

Je dois récupérer une vieille application Internet, et la débugguer afin que certaines fonctionnalités fonctionnent justement!

Il se trouve que pour cette application le login et le mot de passe administrateur sont stockés dans une fichier .asp

Un formulaire permet de les modifier, voici le code source le traitant, suivi du message d'erreur que j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
<% Set FSO = _
   Server.CreateObject("Scripting.FileSystemObject") %>
   <% dir = Server.MapPath(".") %>
   <% Fnm = dir & "\admin_connex.asp" %>
   <% set inF = FSO.OpenTextFile(Fnm,2,false) %>
   <% inF.writeLine "<%" %>
   <% inF.writeLine "login_admin = """ & request("login") & """" %>
   <% inF.writeLine "pass_admin = """ & request("password") & """" %>
   <% inF.write "%>" %>
   <% inF.close %>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
Type d'erreur :
Erreur de compilation Microsoft VBScript (0x800A0409)
Constante chaîne non terminée
/Escape/pages/membres/change_mot_de_passe.asp, line 37, column 11
inF.write "
----------^

J'ai beau tourner le problème dans tous les sens je ne trouve pas d'erreur .... Une idée ?

[totoche]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<% 
Set FSO = _ 
   Server.CreateObject("Scripting.FileSystemObject")
   dir = Server.MapPath(".")
   Fnm = dir & "\admin_connex.asp" 
  set inF = FSO.OpenTextFile(Fnm,2,false) 
   inF.writeLine "<%" 
  inF.writeLine "login_admin ='" & request("login") & "'"   ' ligne 37 sans doute
inF.writeLine "pass_admin = '"& request("password") & "'" %> 
inF.write "%>"
nF.close 
%>

inutile de multiplier les <% allers-retours

[Pymm]

inF.writeLine "login_admin ='" & request("login") & "'" ' ligne 37 sans doute

regarde bien le message d'erreur c'est un write et non un writeline.
Les requests "tout court" ça fonctionne ? je trouve pas ça très "propre" et je pense que niveau perf cela doit être moins bon ?

inutile de multiplier les <% allers-retours

+1

[totoche]

Salut Pymm,
j'ai pas compris

+1

[Pymm]

Je suis d'accord avec toi c'est pas la peine d'ajouter du code qui ne sert pas.
cela risque de dégrader les performances.

[J1]

Le problème vient du fait qu'à la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<% inF.write "%>" %>

le premier %> est interprété comme étant la balise de fin de code ASP, ce qui fait donc planter l'interpréteur.
Essaie donc ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<% inF.write "%" & ">" %>

Au fait, j'espère que l'accès à ta page change_mot_de_passe.asp est bien contrôlé parce que c'est très dangereux de laisser à un internaute le loisir de modifier le contenu d'une page ASP.
En effet, plutôt que de saisir un login comme tu l'attends, il peut très bien saisir un bout de code. A titre d'exemple, imagine (mais ne teste pas, ça ferait sûrement planter ton appli) ce qui se passerait si ton utilisateur saisissait le login suivant :
":response.end
Mais pire, imagine maintenant que l'utilisateur remplace response.end par un bout de code supprimant des fichiers du serveur !
En fait, c'est le même problème que pour les injections SQL. On pourrait appeler ça une injection ASP.

Maintenant, étant donné que ta page semble destinée aux admins (des utilisateurs a priori bienveillants donc), je suppose que le risque est moindre. Mais dans l'absolu, c'est une pratique risquée. En tout cas, te voilà prévenu. Un homme averti en vaut deux

PS : d'ailleurs, même s'il n'est pas malveillant, un admin peut très bien saisir un login contenant un guillemet, ce qui fera aussi planter l'appli.