IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Faille XSS


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. 14/05/2010, 18h32 #1
    smed79
    smed79 est déconnecté
    Membre averti
    Homme Profil pro
    Lottery Winner
    Inscrit en
    Novembre 2008
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Lottery Winner

    Informations forums :
    Inscription : Novembre 2008
    Messages : 38
    Par défaut Faille XSS
    Bonjour,

    Pour un petit blog j'utilise le cms PluXml et dans la Wiki PluXml il y'a un code pour ajouter un moteur de recherche à partir d'une page statique.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    <?php
# Page statique Pluxml : moteur de recherche
# revision 1.0 par Stephane :
#	- compatibilité pluxml 4.2 
#	- paramètrage du format de la date
 
if(!defined('PLX_ROOT')) exit;
 
# Renseignez ici le format de la date
$format_date = '#num_day/#num_month/#num_year(4)';
 
global $plxShow;
 
if (!empty($_POST['searchfield'])) {
 
	$plxGlob_arts = new plxGlob(PLX_ROOT.$plxShow->plxMotor->aConf['racine_articles']);
	$aFiles = $plxGlob_arts->query('/[0-9]{4}.([0-9]{3}|home).[0-9]{12}.[a-z0-9-]+.xml$/','search','rsort');
 
	if(is_array($aFiles)) { # On a des fichiers
 
		$searchword = strtolower(addslashes($_POST['searchfield']));
		ob_start();
		while(list($k,$v) = each($aFiles)) { # On parcourt tous les fichiers
 
			$art = $plxShow->plxMotor->parseArticle(PLX_ROOT.$plxShow->plxMotor->aConf['racine_articles'].$v);
 
			$searchstring  = strtolower(addslashes($art['title'].$art['chapo'].$art['content'])); 
 
			if (strpos($searchstring,$searchword) !== false) {
				$searchresults = true;
				$art_num = intval($art['numero']);
				$art_url = plxUtils::strCheck($art['url']);
				$art_title = plxUtils::strCheck($art['title']);
				$art_date = plxDate::dateIsoToHum($art['date'], $format_date);
				echo '<li>'.$art_date.': <a href="'.$plxShow->plxMotor->aConf['racine'].'?article'.$art_num.'/'.$art_url.'">'.$art_title.'</a></li>'; 
			}
		}
		$content = ob_get_clean(); 
		if ($content!='')
			echo '<p>Résultats de la recherche.<br /><ol class="search_results">'.$content.'</ol></p>';
		else
			echo '<p>Aucun résultat pour <strong>'.$searchword.'</strong></p>';
	}
}
?>
 
<form method="post" id="searchform" action="<?php echo PLX_ROOT ?>?<?php $plxShow->get() ?>">
<p class="searchform">
	<input type="hidden" name="search" value="search"  />
	<input type="text" class="searchfield" name="searchfield" value="Rechercher..." onblur="if(this.value=='') this.value='Rechercher...';" onfocus="if(this.value=='Rechercher...') this.value='';" /> 
	<input type="submit" class="searchbutton" value="Go" />
</p>
</form>
    Le Probleme c'est que ce moteur de recherche présente Faille XSS



    Comment résoudre ce problème ?

    Merci
    Répondre avec citation Répondre avec citation   0  0
  2. 14/05/2010, 19h17 #2
    sabotage
    sabotage est déconnecté
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Par défaut
    Je dirais :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $searchword = strtolower(htmlspecialchars($_POST['searchfield']));
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP
    Répondre avec citation Répondre avec citation   1  0
  3. 14/05/2010, 19h24 #3
    smed79
    smed79 est déconnecté
    Membre averti
    Homme Profil pro
    Lottery Winner
    Inscrit en
    Novembre 2008
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Lottery Winner

    Informations forums :
    Inscription : Novembre 2008
    Messages : 38
    Par défaut
    merci beaucoup sabotage
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [PHP 5.0] Faille XSS avec JavaScript
    Par AyManoVic dans le forum Langage
    Réponses: 5
    Dernier message: 22/10/2010, 12h45
  2. [IE 8] Quelles options modifier pour autoriser la faille XSS ?
    Par homeostasie dans le forum IE
    Réponses: 0
    Dernier message: 22/07/2009, 16h30
  3. [securité] Faille XSS n'a pas lieu même sans l'utilisation de htmlspecialchars()
    Par homeostasie dans le forum Langage
    Réponses: 2
    Dernier message: 08/05/2009, 16h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo