Parce que si htmlentities suffisait à sécuriser un formulaire ça se saurait. Mais c'est marrant au début je ne jurais que par cette fonction aussi.
Version imprimable
Parce que si htmlentities suffisait à sécuriser un formulaire ça se saurait. Mais c'est marrant au début je ne jurais que par cette fonction aussi.
Alors as-tu une idée du comment du pourquoi lol ? Parce que ça m'interresserai pas mal. Et pourquoi le htmlentities est-il insufisant ? Parce que en fait je comprend pas exactement son fonctionnement. D'après moi il convertit tout les caratère sous forme de &XX; ou X est un chiffre ou une lettre, et puis il fait comme si les ' n'existait pas. Donc je me disais qu'il avait peut-être réussit à faire passer des ' en les écrivant directe sous leur forme html. Qu'en pensez-vous ?
mysql_real_escape_string non plus ^^Citation:
Envoyé par JackBeauregard
Merci de lire les sujets completement et essayer d'être un minimum constructif.
C'est bien beau de dire qu'un code d'un autre est une passoire, encore faut-il pouvoir appuyer ses dires et proposer des solutions.
Le sujet ici ne parle pas de problèmes de spam (ce dont j'ai cru au début) mais plutot de défaçage.
Je suis curieux de savoir ce qui a été envoyer à ton formulaire, Pahcixam.
L'idéal serait de pouvoir t'envoyer un mail avec le contenu de la requete quand le pirate s'amuse avec ton formulaire...
Non mais est-ce que j'ai dit que mysql_real_escape_string() allait bloquer un spam. J'ai dit qu'il faut utiliser les expressions régulières quand on le peut. Personnes ne peut dire le contraire c'est une évidence. Et c'est tout à fait constructif.
Bon allez débrouillez-vous.
Oui, malheureusement je pense qu'il zap la fin du formulaire en insérant un truc genre /* pour éviter l'envoi du mail et assurer l'execution de son script.
Je viens de penser à un truc. est-il possible que du texte (ou tout autre chose) qui soit dans un codage non supporté par la fonction htmlentities ne soit pas converti ?
Les regexp non rien a voir dans le cas présent... ni d'une manière générale dans des question de sécurité... elle peuvent se révéler être un outil utile contre certaines attaque mais ne sont pas une fin en soit... on peut très bien faire sans et qui plus est certaines attaques passeront sans problème au travers des expressions régulières... quand à mysql_real_escape_string() c'est hors sujet... .. .Citation:
Envoyé par JackBeauregard
Pour en revenir à notre problème... ce qui est chiant avec le log d'accès de apache c'est qu'on ne vois pas les paramètres soummis via la méthode post... .. .
Qu'est ce qu'il y a à la ligne 12,13 et 32 de ton fichier form.php... tu en as d'autre des erreurs comme ça dans tes logs... .. ?
@ tchaOo°
edit : j'ais rien dit j'avais pas fait attention que tu avais posté le code en entier plus haut... .. .
Je dois en avoir un bonne 50aine, sachant que je véridie mes fichiers avant de les envoyer, et une deuxième fois une fois envoyé, ces erreurs ne viennent pas de mon code.
htmlentities convertie tout ce qui a un équivalant html... on peut docn passer à travers en injectant du code en hexadecimal au fianl le code passe mais htmlentities à fait son boulot... .. .Citation:
Envoyé par Pahcixam
Sinon qu'est ce qui te fait dire qu'il a tenté d'éxécuter des commandes ftp_*... .. ?
@ tchaOo°
Tu veux dire qu'en injectant du code hexadécimal, celui-ci passera, mais étant en hexadécimal, il ne s'executera pas, c'est ça ?
Ce qui me fait dire qu'il a executé des commandes FTP, c'est tout simplement que mon fichier de base à été commenté et qu'il a rajouter le sien au début. je ne voix donc que des commande FTP pour faire ça, parce que si il avait eu le code de mon FTP, il n'aura pas fait de broutilles ...
Ah non... il a plutot du executer des commandes sur le gestionnaire de fichier (fopen,fwrite,fclose)... s'il avait executé des commande ftp il est probable que tout ton site aurait sauté... .. .
@ tchaOo°
Quand je parlais de commande ftp, c'était bien de ces commandes (fopen,fwrite,fclose) que je parlais. Je savais pas qu'il y avait une différence entre les deux.
En tout cas, pour les passer il a du forcement les envoyer par le formulaire, mais comment ...
Ton serveur utilise quelle version de php... .. ?
@ tchaOo°
Mon serveur utilise php version 4.4.3.
Perso je pense que la vérité est ailleurs.
Est-ce qu'à un endroit dans tes scripts, tu fais un include/require d'une page en fonction de la requete ?
Est-ce que tu utilises des outils que tu n'as pas développé comme joomla ou autre ?
Alors en fait, mo site est découpé en module. Mais le module mail est nouveau et il fonctionne de lui-même. Il est dans un dossier avec le fichier formulaire.html qui lui renvoie. J'utilise à côté de ça phpBB (mis à jour). Mais il n'y a aucun lien entre les deux. Je ne fait pas d'include, le script est exactement celui que j'ai posté plus haut, et le formulaire n'a pas d'inportance sachant qu'il a très bien pu en creer un autre avec le nom de mes variables.
La seule chose qui provient d'ailleur et le login en SESSION.
Pareil... j'avais un doute sur la version de php vu qu'il fut un temps il y avait une faille dans la fonction mail... mais de toute façon même avec une requete PUT ça ne colle pas... .. .Citation:
Envoyé par Mr N.
Tu dis que tu utilise phpBB qui a tendance à être un peu passoire comme script... as tu contacter l'admin d'un des site de phpBB pour savoir s'il y avait pas une faille pas encore corrigée... .. ?
Qu'est ce que tu appel modules... de quel type de scripts sagit il... .. ?
@ tchaOo°
Mon système de module est simple. J'ai un code maître qui charge les modules dans des pseudos-frames. Chaque module est en fait un dossier avec des fichiers qui ont une fonction bien définie, comme par exemple un fichier messagerie avec les fichiers "envoyer.php", "repondre.php", "lire.php" ...
Mais dans mon cas précis, vu que je testait ce module, j'avais juste fait un lien vers une nouvelle page (que je voulais transformé en pop-up).
En ce qui concerne le type de script, c'est juste un bête formulaire xhtml avec un tableau et un formulaire.
Et pour phpBB, impossible d'utiliser une faille, car il est fermé et dans un sous-domaine.
Dans ce cas là c'est tous tes script qu'il faut remettre en cause et passer leur code au peigne fin... .. .Citation:
Envoyé par Pahcixam
Qu'est ce que tu entend par fermé et dans un sous domaine... .. ?Citation:
Envoyé par Pahcixam
parce qu'il y a une grosse faille qui a été découverte il y a quelques jours à peine (Release Date: 2006-10-16)... .. .
@ tchaOo°
Je pense pas que sa soit mes autres fichiers vue que les parse error vienne de ses fichiers en particulier.
Et puis je l'ai dit, dans le cas du module mail, je fait juste un lien <a href= ...>
Rien en php
Pour phpBB, j'ai juste décoché "forum ouvert" dans la config, et le répertoire et seulement accessible depuis un dns genre phpBB.mondomaine.com. il n'est pas dans mon système du site.