cs_zzzzzz
Messages postés408Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention18 décembre 2012
-
31 mars 2004 à 14:18
cs_zzzzzz
Messages postés408Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention18 décembre 2012
-
1 avril 2004 à 12:59
Salut
j'ai pas mal de page en php. Je me demandais quels sont les risques rééls sur les url. genre on rajoute un code apres l'url ? on pourrai ainsi injecter du code php dans une url ? ou bien je ne sais pas trop. le reste j'y est sécurisé mais le seul truc qui me pose prob c tout se kon pourrai inséré de malveillant dans mes url...
si vous avez des conseils ou autres...
cs_Duss
Messages postés890Date d'inscriptionlundi 8 avril 2002StatutMembreDernière intervention29 juillet 200411 31 mars 2004 à 14:27
ben pour injecter du code il faut a la base que toi tu le traite.
si tu ne te sers jamais des url pour passer des params a tes pages tu ne risque rien.
Duss
perig
Messages postés358Date d'inscriptionvendredi 1 novembre 2002StatutMembreDernière intervention 5 septembre 2006 31 mars 2004 à 18:14
salut
bon pour info je boss avec zzzzzz !!!
Les variables globales sont visiblement toutes a off
et pour ma part j'utilise beaucoup de "form" avec la méthode post.
Y'a t'il moyen de pirater la méthode post ?
J'utilise aussi de temps en temps des liens avec la méthode get car je ne vois pas comment faire sinon.
www...com/mapage.php?var1=toto
la je sais que c'est pas le top.
Je viens de pensais que je peut sécuriser ca en utilisant un "form" avec du java pour pouvoir valider mon "form" (en méthode post) avec un simple clic sur un lien et non sur un bouton mais je trouve que c'est pas térible car je cherche a utiliser le moins de javascript possible.
Y a t'il une autre méthode ?
Car avec les session je vois pas comment traduire 2 liens a la suite du type
www...com/page.php?var1=toto
www...com/page.php?var1=tata
si je fais un $_SESSION['var1']=toto; le tata ne marchera plus et inversement (vous pigez?)
il me semble que j'ai oublié de parler de qqch mais...
ce sera pour la prochaine lol
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
perig
Messages postés358Date d'inscriptionvendredi 1 novembre 2002StatutMembreDernière intervention 5 septembre 2006 31 mars 2004 à 19:10
oui amis non
car imagine mon de est
dans une page : page1.php
pour toto clic ici
pour tata clic ici
je peut faire
dans une page : page1.php
pour toto clic ici
pour tata clic ici
et dans page2a.php j'attribut a $_SESSION['var1']=toto;
et dans page2b.php j'attribut a $_SESSION['var1']=tata;
puis je redirige le tout vers la page page2.php
mais c'est franchement du bricolage
donc dans un tel cas il je ne peut pas utiliser mes sessions.
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
perig
Messages postés358Date d'inscriptionvendredi 1 novembre 2002StatutMembreDernière intervention 5 septembre 2006 31 mars 2004 à 20:57
ha vi je peut ptétre utiliser le md5()!!! je vais voir ca
sinon
Y'a t'il moyen de pirater la méthode post ?
pq si le gars repére le nom de ma page (new.php qui permet de rajouter des truc dans ma base sql) qui est appelé a la validation du "form" (ce script ne marche que si des données valides lui sont envoyés)
alors il peut recreer sur son serveur un form avec la methode post qui pointe sur mon server, sur le fichier new.php et donc remplir toute ma base avec des truc a la con.
A moins que la méthode poste ne marche pas d'un server a l'autre!!!
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
cs_zzzzzz
Messages postés408Date d'inscriptionlundi 16 décembre 2002StatutMembreDernière intervention18 décembre 2012 1 avril 2004 à 12:59
merci pour les reponses lol! au fait Perig te fait pas chiez avec le js pour les profils on va faire ca par la metode get et on va y crypté en md5(fallais y pensser) sinon se qui ma fait douté pour Duss (mon pote :p) c que j'ai passé sur une page test.php avec juste 1 echo $var; et par l'url j'ai mit ?&var=coco et ca ma bien affiché coco ... =] donc je me dit que si on peut afecter une variable via une url. bé on peut surrement faire autre chose le pire ca serrai de mettre une fonction dans l'url :}