Sécurité Formulaire php. Dangereux ou pas?
KcHeY
Messages postés
261
Date d'inscription
dimanche 23 mai 2004
Statut
Membre
Dernière intervention
22 septembre 2012
-
7 déc. 2011 à 10:38
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012 - 7 déc. 2011 à 11:39
KcHeY Messages postés 261 Date d'inscription dimanche 23 mai 2004 Statut Membre Dernière intervention 22 septembre 2012 - 7 déc. 2011 à 11:39
A voir également:
- Sécurité Formulaire php. Dangereux ou pas?
- Php table - Conseils pratiques -PHP
- Formulaire excel ✓ - Forum Visual Basic 6
- Modèle formulaire de demande de congés payés gratuit - Forum PHP
- Formulaire d'authentification php ✓ - Forum PHP
- "Php version 4.4.5" "build date" "server api" "php variables" ✓ - Forum PHP
7 réponses
cod57
Messages postés
1653
Date d'inscription
dimanche 7 septembre 2008
Statut
Membre
Dernière intervention
11 septembre 2013
19
7 déc. 2011 à 10:56
7 déc. 2011 à 10:56
bonjour
il faudrait voir le code
si c'est un livre d'or tu as des chances, souvent ceux sont des robots qui le font ...
le captcha, le token, ou des fonctions strip_tags(),htmlentities()
Bonne programmation !
il faudrait voir le code
si c'est un livre d'or tu as des chances, souvent ceux sont des robots qui le font ...
le captcha, le token, ou des fonctions strip_tags(),htmlentities()
Bonne programmation !
KcHeY
Messages postés
261
Date d'inscription
dimanche 23 mai 2004
Statut
Membre
Dernière intervention
22 septembre 2012
7 déc. 2011 à 11:00
7 déc. 2011 à 11:00
Bonjour et merci pour ta réponse.
Ben en fait je vérifie rien c'est un code on ne peux plus simple :
En fait je pilote ça depuis un programme VB.
J'envoi des textbox dans les variables et ça c'ecrit sur la page.
Ben en fait je vérifie rien c'est un code on ne peux plus simple :
<?php
$message = utf8_decode($_POST['message']);
$data= $message.'';
$fp = fopen('1.txt',"w");
fputs($fp,$data."\r\n");
fclose($fp);
?>
En fait je pilote ça depuis un programme VB.
J'envoi des textbox dans les variables et ça c'ecrit sur la page.
KcHeY
Messages postés
261
Date d'inscription
dimanche 23 mai 2004
Statut
Membre
Dernière intervention
22 septembre 2012
7 déc. 2011 à 11:01
7 déc. 2011 à 11:01
et le fichier html c'est ça :
<form method="post" action="PAGE.php"> <textarea name="message" cols="12"></textarea> </form>
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
7 déc. 2011 à 11:22
7 déc. 2011 à 11:22
Salut,
cod57 a montré certains risque tout à fait justifier :
Tout d'abord l'abscence de captchas, à cause de ça n'importe quel bot peux remplir ton fichier en boucle. Imagine l'état de ton fichier si un bot écrit dedans en permanence, 24h/24, 7j/7. Bref, met donc un captcha.
Ensuite, le problème que va soulever l'utilisation de ce fichier. En fonction de son utilisation, certains contenus peuvent être dangereux. Par exemple, si son but est d'être affiché dans une page web, alors il y a risque de cross-site scripting et tu devrais donc filtrer le contenu avec les fonction que cod57 t'a passé. Soit dit en passant, si le but est d'être lu par un humain, tu peux également filtrer les caractères non imprimables et autres choses du genre.
cod57 a montré certains risque tout à fait justifier :
Tout d'abord l'abscence de captchas, à cause de ça n'importe quel bot peux remplir ton fichier en boucle. Imagine l'état de ton fichier si un bot écrit dedans en permanence, 24h/24, 7j/7. Bref, met donc un captcha.
Ensuite, le problème que va soulever l'utilisation de ce fichier. En fonction de son utilisation, certains contenus peuvent être dangereux. Par exemple, si son but est d'être affiché dans une page web, alors il y a risque de cross-site scripting et tu devrais donc filtrer le contenu avec les fonction que cod57 t'a passé. Soit dit en passant, si le but est d'être lu par un humain, tu peux également filtrer les caractères non imprimables et autres choses du genre.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cod57
Messages postés
1653
Date d'inscription
dimanche 7 septembre 2008
Statut
Membre
Dernière intervention
11 septembre 2013
19
7 déc. 2011 à 11:23
7 déc. 2011 à 11:23
qui utilise ce form
juste toi ou tous les visiteurs ?
est ce publique ou privé ?
un captcha (contre les bots) et strip_tags devrait faire l'affaire
voir strlen() pour pas te faire poster un roman et trim ... mais le plus sur c'est protégé la page du form par un login et password et la page du traitement par un token, c'est à dire que la page de traitement reçoit un code unique du form
pour éviter que ton form soit recopier de l'exterieur du site et que le post soit unique ...
Bonne programmation !
juste toi ou tous les visiteurs ?
est ce publique ou privé ?
un captcha (contre les bots) et strip_tags devrait faire l'affaire
voir strlen() pour pas te faire poster un roman et trim ... mais le plus sur c'est protégé la page du form par un login et password et la page du traitement par un token, c'est à dire que la page de traitement reçoit un code unique du form
pour éviter que ton form soit recopier de l'exterieur du site et que le post soit unique ...
Bonne programmation !
KcHeY
Messages postés
261
Date d'inscription
dimanche 23 mai 2004
Statut
Membre
Dernière intervention
22 septembre 2012
7 déc. 2011 à 11:38
7 déc. 2011 à 11:38
Bien le bonjour et merci pour votre réponse,
Je sais pas si vous avez remarqué, mais a chaque fois que jecris dans ce fichier txt (qui est effectivement heberger sur le net sur page non protégé)
j'écrase ce qu'il y a dedans, donc un BOT ne pourrai deja pas le remplir.
Par contre en effet il pourrai envoyer des messages à répétitions pour saturé ma bande passante ou je ne sais quoi.
Je viens de regarder la définition du cross site-scripting et j'ai donc essayer de mettre ça dans mon formulaire :
<script type="text/javascript">alert('bonjour')</script>
ça n'as rien fait.
Je suis le seul à utiliser ce formulaire, mais je prévois d'y faire intervenir quelqu'un d'autre.
Je vous explique ce prog que je programme par plaisir et pour apprendre.
Donc :
j'ai deux .exe :
-le premier verife toute les secondes la contenance du fichier .txt
Il detecte la premiere ligne, celon ce qui est ecris il effectue une action différente, par exemple : ligne 1 = msgbox / il ouvre il msgbox avec ecris ce qu'il y a sur le fichier txt sauf la premiere ligne
-le deuxieme programme, envoi donc les données sur la page avec le formulaire et donc sa ecris sur le fichier txt.
Du coup avec ce programme, je controle le premier programme.
Donc le soucis du CAPTCHA est que je peux pas m'amuser à le retaper à chaque action, surtout que la page avec le formulaire est .Hide()
Je m'en sert aussi a faire un mini tchat.
En gros au final sa peut servir de client/serveur quand on sais à quel mot réagis le programme.
Je sais pas si vous avez remarqué, mais a chaque fois que jecris dans ce fichier txt (qui est effectivement heberger sur le net sur page non protégé)
j'écrase ce qu'il y a dedans, donc un BOT ne pourrai deja pas le remplir.
Par contre en effet il pourrai envoyer des messages à répétitions pour saturé ma bande passante ou je ne sais quoi.
Je viens de regarder la définition du cross site-scripting et j'ai donc essayer de mettre ça dans mon formulaire :
<script type="text/javascript">alert('bonjour')</script>
ça n'as rien fait.
Je suis le seul à utiliser ce formulaire, mais je prévois d'y faire intervenir quelqu'un d'autre.
Je vous explique ce prog que je programme par plaisir et pour apprendre.
Donc :
j'ai deux .exe :
-le premier verife toute les secondes la contenance du fichier .txt
Il detecte la premiere ligne, celon ce qui est ecris il effectue une action différente, par exemple : ligne 1 = msgbox / il ouvre il msgbox avec ecris ce qu'il y a sur le fichier txt sauf la premiere ligne
-le deuxieme programme, envoi donc les données sur la page avec le formulaire et donc sa ecris sur le fichier txt.
Du coup avec ce programme, je controle le premier programme.
Donc le soucis du CAPTCHA est que je peux pas m'amuser à le retaper à chaque action, surtout que la page avec le formulaire est .Hide()
Je m'en sert aussi a faire un mini tchat.
En gros au final sa peut servir de client/serveur quand on sais à quel mot réagis le programme.
KcHeY
Messages postés
261
Date d'inscription
dimanche 23 mai 2004
Statut
Membre
Dernière intervention
22 septembre 2012
7 déc. 2011 à 11:39
7 déc. 2011 à 11:39
Je voulais dire aussi, je pourrai protéger par .htaccess mais mon programme ne pourrai plus communiquer avec ces pages.
