Sécurité Formulaire php. Dangereux ou pas?

KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012 - 7 déc. 2011 à 10:38
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012 - 7 déc. 2011 à 11:39
Bonjour all,

J'ai entendu parler de faille(s) php et j'aurai souhaiter savoir si j'était concerné.
J'ai un formulaire et un bouton (sur une page html) qui envoi les données sur une page php pour ensuite les écrire sur un fichier .txt
Sachant que la destination des données est un fichier .txt, je ne risque rien au sujet de l'injection de code malveillant via mon formulaire n'est-ce pas ?

C'est juste cela que je souhaiterai savoir.

Merci d'avance.

7 réponses

cod57 Messages postés 1654 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 20
7 déc. 2011 à 10:56
bonjour

il faudrait voir le code

si c'est un livre d'or tu as des chances, souvent ceux sont des robots qui le font ...
le captcha, le token, ou des fonctions strip_tags(),htmlentities()



Bonne programmation !
0
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012
7 déc. 2011 à 11:00
Bonjour et merci pour ta réponse.
Ben en fait je vérifie rien c'est un code on ne peux plus simple :



<?php
$message = utf8_decode($_POST['message']);
$data= $message.'';
$fp = fopen('1.txt',"w"); 
fputs($fp,$data."\r\n");
fclose($fp);
?> 


En fait je pilote ça depuis un programme VB.
J'envoi des textbox dans les variables et ça c'ecrit sur la page.
0
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012
7 déc. 2011 à 11:01
et le fichier html c'est ça :

<form method="post" action="PAGE.php">
  

  <textarea name="message" cols="12"></textarea>

</form>
0
TychoBrahe Messages postés 1309 Date d'inscription samedi 31 janvier 2009 Statut Membre Dernière intervention 5 juin 2013 12
7 déc. 2011 à 11:22
Salut,

cod57 a montré certains risque tout à fait justifier :
Tout d'abord l'abscence de captchas, à cause de ça n'importe quel bot peux remplir ton fichier en boucle. Imagine l'état de ton fichier si un bot écrit dedans en permanence, 24h/24, 7j/7. Bref, met donc un captcha.
Ensuite, le problème que va soulever l'utilisation de ce fichier. En fonction de son utilisation, certains contenus peuvent être dangereux. Par exemple, si son but est d'être affiché dans une page web, alors il y a risque de cross-site scripting et tu devrais donc filtrer le contenu avec les fonction que cod57 t'a passé. Soit dit en passant, si le but est d'être lu par un humain, tu peux également filtrer les caractères non imprimables et autres choses du genre.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cod57 Messages postés 1654 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 20
7 déc. 2011 à 11:23
qui utilise ce form
juste toi ou tous les visiteurs ?
est ce publique ou privé ?

un captcha (contre les bots) et strip_tags devrait faire l'affaire
voir strlen() pour pas te faire poster un roman et trim ... mais le plus sur c'est protégé la page du form par un login et password et la page du traitement par un token, c'est à dire que la page de traitement reçoit un code unique du form
pour éviter que ton form soit recopier de l'exterieur du site et que le post soit unique ...



Bonne programmation !
0
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012
7 déc. 2011 à 11:38
Bien le bonjour et merci pour votre réponse,

Je sais pas si vous avez remarqué, mais a chaque fois que jecris dans ce fichier txt (qui est effectivement heberger sur le net sur page non protégé)
j'écrase ce qu'il y a dedans, donc un BOT ne pourrai deja pas le remplir.
Par contre en effet il pourrai envoyer des messages à répétitions pour saturé ma bande passante ou je ne sais quoi.

Je viens de regarder la définition du cross site-scripting et j'ai donc essayer de mettre ça dans mon formulaire :

<script type="text/javascript">alert('bonjour')</script>

ça n'as rien fait.

Je suis le seul à utiliser ce formulaire, mais je prévois d'y faire intervenir quelqu'un d'autre.

Je vous explique ce prog que je programme par plaisir et pour apprendre.

Donc :

j'ai deux .exe :

-le premier verife toute les secondes la contenance du fichier .txt
Il detecte la premiere ligne, celon ce qui est ecris il effectue une action différente, par exemple : ligne 1 = msgbox / il ouvre il msgbox avec ecris ce qu'il y a sur le fichier txt sauf la premiere ligne

-le deuxieme programme, envoi donc les données sur la page avec le formulaire et donc sa ecris sur le fichier txt.
Du coup avec ce programme, je controle le premier programme.

Donc le soucis du CAPTCHA est que je peux pas m'amuser à le retaper à chaque action, surtout que la page avec le formulaire est .Hide()

Je m'en sert aussi a faire un mini tchat.

En gros au final sa peut servir de client/serveur quand on sais à quel mot réagis le programme.
0
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012
7 déc. 2011 à 11:39
Je voulais dire aussi, je pourrai protéger par .htaccess mais mon programme ne pourrai plus communiquer avec ces pages.
0