neigedhiver
Messages postés2480Date d'inscriptionjeudi 30 novembre 2006StatutMembreDernière intervention14 janvier 201119 28 juil. 2008 à 18:00
Salut,
@abdelaziz_info : le conseil dont tu parles, on le trouve sur tellement de sources, dans tellement de tutos, sur tellement de forums, que s'il n'est pas mis en application (sur cette source ou une autre), le laisser ici ne changera rien. Si c'était une exclusivité, je veux bien, mais faut pas abuser... C'est le conseil de sécurité le plus donné au monde, le plus élémentaire... Qu'il disparaisse avec cette source, franchement, ça ne changera pas grand chose... Manifestement les développeurs débutants se contentent de débuter sans progresser : autrement, le conseil serait appliqué et disparaitrait peu à peu de la surface du net.
abdelaziz_info
Messages postés120Date d'inscriptionlundi 19 juillet 2004StatutMembreDernière intervention12 janvier 2017 28 juil. 2008 à 13:24
Bonjour:
Là je ne suis pas d’accord avec « codefalse » pour la suppression de cette source qui est inutile oui mais pas après avoir ajouter un très précieux conseil qui est le suivant et qui va disparaître avec cette source en cas où …:
ici :
include ($page);
Tu ne vérifie pas $page, qui provient de $_GET['page']; Si je met une url contenant du code php qui peux détruire ta base de donnée, ca fonctionnera !
Il y a une règle simple à connaitre en développement: NEVER TRUST USER INPUT !
Tout ce que l'utilisateur est susceptible de le modifier, tu l'analyse !
Dans ton cas, fait un switch du genre :
switch ($_GET['page']) {
case 'news':
include 'news.php';
break;
case '..' :
include '...php';
break;
// etc
}
Et ceci permet aux plusieurs qui vont passer par ici de ne plus faire les mêmes erreurs, et surtout qu’il y a plain de très bons codes bien cuits a s’en servir.
A mon avis le ‘phpcs’ est le meilleur site au monde grâces à la rubrique commentaires sur les codes qui sont parfois plus intéressants que les codes même.
Ce lui qui ne connaît pas les erreurs risque d’y tomber et ceux qui ne font pas des erreurs ce sont ceux qui ne font jamais rien.
Merci à tous.
tunfilsdepute
Messages postés4Date d'inscriptionlundi 12 novembre 2007StatutMembreDernière intervention24 novembre 2008 28 juil. 2008 à 10:03
codefalse
Messages postés1123Date d'inscriptionmardi 8 janvier 2002StatutModérateurDernière intervention21 avril 20091 26 juil. 2008 à 18:22
Par contre sans réaction de son auteur d'ici ce soir, je supprimerai cette source car en l'état elle est inutile. (Le zip source ayant été supprimé)
toutoos
Messages postés56Date d'inscriptionmercredi 4 juin 2008StatutMembreDernière intervention17 octobre 2009 26 juil. 2008 à 18:13
Je ne voi pas en quoi il sont pourris? pour débuter ils sont bien pasque si tu faits apprendre html et CSS en mm temps yen a qui se tuent!
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 26 juil. 2008 à 16:36
hum... avoir un code valide xhtml, ca ne fait pas tout...
t'as laisse de vieux attributs pourris dans ton code (align=center)
webdeb
Messages postés488Date d'inscriptionsamedi 5 avril 2003StatutMembreDernière intervention31 mars 20094 26 juil. 2008 à 13:25
Vive les failles de sécurité, la non vérification des données utilisateurs et l'architecture du code mélangeant HTML et PHP...
toutoos
Messages postés56Date d'inscriptionmercredi 4 juin 2008StatutMembreDernière intervention17 octobre 2009 25 juil. 2008 à 13:35
La je suis daccord avec code false!
inxlude($page);
Vive la sécoritée!
Ensuite le formuaire de recherche est posté uniquement quand il est vide!
Puis des gestionnaire de blog il en existe des 100aines et bien plus intérréssant au niveau programmation et gestion que celui la! Maistenant il auri falu voir le reste de la source mais a mon avi ça devait être parreil partout!
codefalse
Messages postés1123Date d'inscriptionmardi 8 janvier 2002StatutModérateurDernière intervention21 avril 20091 25 juil. 2008 à 13:10
Ton site n'est absolument pas sécurisé et en deux coups de code je récupère tes identifiants de connexion voir te vide entièrement ta base de donnée.
Le probleme ?
ici :
include ($page);
Tu ne vérifie pas $page, qui provient de $_GET['page']; Si je met une url contenant du code php qui peux détruire ta base de donnée, ca fonctionnera !
Il y a une règle simple à connaitre en développement: NEVER TRUST USER INPUT !
Tout ce que l'utilisateur est susceptible de le modifier, tu l'analyse !
Dans ton cas, fait un switch du genre :
switch ($_GET['page']) {
case 'news':
include 'news.php';
break;
case '..' :
include '...php';
break;
// etc
}
Pareil pour ta recherche, tu n'analyse pas ce que l'utilisateur entre, pense à les proteger avec mysql_escape_string ou mieux ! PDO ! (php.net/pdo)
Sinon j'ai supprimé ton source car il contenait tes identifiants (login/passwd) pour te connecter à la base de donnée de free ... tu pourras le remettre quand tu aura corrigé ca !
J'hésite franchement à supprimer ta source ; elle n'apporte rien de nouveau et contient énormément de problèmes de sécurités qui peuvent poser problèmes (de très sérieux problèmes). Prouve moi que c'est une bonne chose de ne pas l'effacer !
28 juil. 2008 à 18:00
@abdelaziz_info : le conseil dont tu parles, on le trouve sur tellement de sources, dans tellement de tutos, sur tellement de forums, que s'il n'est pas mis en application (sur cette source ou une autre), le laisser ici ne changera rien. Si c'était une exclusivité, je veux bien, mais faut pas abuser... C'est le conseil de sécurité le plus donné au monde, le plus élémentaire... Qu'il disparaisse avec cette source, franchement, ça ne changera pas grand chose... Manifestement les développeurs débutants se contentent de débuter sans progresser : autrement, le conseil serait appliqué et disparaitrait peu à peu de la surface du net.
28 juil. 2008 à 13:24
Là je ne suis pas d’accord avec « codefalse » pour la suppression de cette source qui est inutile oui mais pas après avoir ajouter un très précieux conseil qui est le suivant et qui va disparaître avec cette source en cas où …:
ici :
include ($page);
Tu ne vérifie pas $page, qui provient de $_GET['page']; Si je met une url contenant du code php qui peux détruire ta base de donnée, ca fonctionnera !
Il y a une règle simple à connaitre en développement: NEVER TRUST USER INPUT !
Tout ce que l'utilisateur est susceptible de le modifier, tu l'analyse !
Dans ton cas, fait un switch du genre :
switch ($_GET['page']) {
case 'news':
include 'news.php';
break;
case '..' :
include '...php';
break;
// etc
}
Et ceci permet aux plusieurs qui vont passer par ici de ne plus faire les mêmes erreurs, et surtout qu’il y a plain de très bons codes bien cuits a s’en servir.
A mon avis le ‘phpcs’ est le meilleur site au monde grâces à la rubrique commentaires sur les codes qui sont parfois plus intéressants que les codes même.
Ce lui qui ne connaît pas les erreurs risque d’y tomber et ceux qui ne font pas des erreurs ce sont ceux qui ne font jamais rien.
Merci à tous.
28 juil. 2008 à 10:03
26 juil. 2008 à 18:22
26 juil. 2008 à 18:13
26 juil. 2008 à 16:36
t'as laisse de vieux attributs pourris dans ton code (align=center)
26 juil. 2008 à 13:25
25 juil. 2008 à 13:35
inxlude($page);
Vive la sécoritée!
Ensuite le formuaire de recherche est posté uniquement quand il est vide!
Puis des gestionnaire de blog il en existe des 100aines et bien plus intérréssant au niveau programmation et gestion que celui la! Maistenant il auri falu voir le reste de la source mais a mon avi ça devait être parreil partout!
25 juil. 2008 à 13:10
J'adore ^^
Ton site n'est absolument pas sécurisé et en deux coups de code je récupère tes identifiants de connexion voir te vide entièrement ta base de donnée.
Le probleme ?
ici :
include ($page);
Tu ne vérifie pas $page, qui provient de $_GET['page']; Si je met une url contenant du code php qui peux détruire ta base de donnée, ca fonctionnera !
Il y a une règle simple à connaitre en développement: NEVER TRUST USER INPUT !
Tout ce que l'utilisateur est susceptible de le modifier, tu l'analyse !
Dans ton cas, fait un switch du genre :
switch ($_GET['page']) {
case 'news':
include 'news.php';
break;
case '..' :
include '...php';
break;
// etc
}
Pareil pour ta recherche, tu n'analyse pas ce que l'utilisateur entre, pense à les proteger avec mysql_escape_string ou mieux ! PDO ! (php.net/pdo)
Sinon j'ai supprimé ton source car il contenait tes identifiants (login/passwd) pour te connecter à la base de donnée de free ... tu pourras le remettre quand tu aura corrigé ca !
J'hésite franchement à supprimer ta source ; elle n'apporte rien de nouveau et contient énormément de problèmes de sécurités qui peuvent poser problèmes (de très sérieux problèmes). Prouve moi que c'est une bonne chose de ne pas l'effacer !