Question de sécurité
cs_zzzzzz
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
-
31 mars 2004 à 14:18
cs_zzzzzz Messages postés 408 Date d'inscription lundi 16 décembre 2002 Statut Membre Dernière intervention 18 décembre 2012 - 1 avril 2004 à 12:59
cs_zzzzzz Messages postés 408 Date d'inscription lundi 16 décembre 2002 Statut Membre Dernière intervention 18 décembre 2012 - 1 avril 2004 à 12:59
8 réponses
cs_Duss
Messages postés
890
Date d'inscription
lundi 8 avril 2002
Statut
Membre
Dernière intervention
29 juillet 2004
11
31 mars 2004 à 14:27
31 mars 2004 à 14:27
ben pour injecter du code il faut a la base que toi tu le traite.
si tu ne te sers jamais des url pour passer des params a tes pages tu ne risque rien.
Duss
si tu ne te sers jamais des url pour passer des params a tes pages tu ne risque rien.
Duss
XsatanaX
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004
31 mars 2004 à 14:41
31 mars 2004 à 14:41
conseils:::
utilise les sessions et les variables globales à OFF
utilise les sessions et les variables globales à OFF
perig
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006
31 mars 2004 à 18:14
31 mars 2004 à 18:14
salut
bon pour info je boss avec zzzzzz !!!
Les variables globales sont visiblement toutes a off
et pour ma part j'utilise beaucoup de "form" avec la méthode post.
Y'a t'il moyen de pirater la méthode post ?
J'utilise aussi de temps en temps des liens avec la méthode get car je ne vois pas comment faire sinon.
www...com/mapage.php?var1=toto
la je sais que c'est pas le top.
Je viens de pensais que je peut sécuriser ca en utilisant un "form" avec du java pour pouvoir valider mon "form" (en méthode post) avec un simple clic sur un lien et non sur un bouton mais je trouve que c'est pas térible car je cherche a utiliser le moins de javascript possible.
Y a t'il une autre méthode ?
Car avec les session je vois pas comment traduire 2 liens a la suite du type
www...com/page.php?var1=toto
www...com/page.php?var1=tata
si je fais un $_SESSION['var1']=toto; le tata ne marchera plus et inversement (vous pigez?)
il me semble que j'ai oublié de parler de qqch mais...
ce sera pour la prochaine lol
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
bon pour info je boss avec zzzzzz !!!
Les variables globales sont visiblement toutes a off
et pour ma part j'utilise beaucoup de "form" avec la méthode post.
Y'a t'il moyen de pirater la méthode post ?
J'utilise aussi de temps en temps des liens avec la méthode get car je ne vois pas comment faire sinon.
www...com/mapage.php?var1=toto
la je sais que c'est pas le top.
Je viens de pensais que je peut sécuriser ca en utilisant un "form" avec du java pour pouvoir valider mon "form" (en méthode post) avec un simple clic sur un lien et non sur un bouton mais je trouve que c'est pas térible car je cherche a utiliser le moins de javascript possible.
Y a t'il une autre méthode ?
Car avec les session je vois pas comment traduire 2 liens a la suite du type
www...com/page.php?var1=toto
www...com/page.php?var1=tata
si je fais un $_SESSION['var1']=toto; le tata ne marchera plus et inversement (vous pigez?)
il me semble que j'ai oublié de parler de qqch mais...
ce sera pour la prochaine lol
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
XsatanaX
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004
31 mars 2004 à 18:35
31 mars 2004 à 18:35
Y a t'il une autre méthode ?
oui, les sessions
$_SESSION['var1']=toto;
et sur un autre page...
$_SESSION['var1']=tata;
oui, les sessions
$_SESSION['var1']=toto;
et sur un autre page...
$_SESSION['var1']=tata;
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
perig
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006
31 mars 2004 à 19:10
31 mars 2004 à 19:10
oui amis non
car imagine mon de est
dans une page : page1.php
pour toto clic ici
pour tata clic ici
je peut faire
dans une page : page1.php
pour toto clic ici
pour tata clic ici
et dans page2a.php j'attribut a $_SESSION['var1']=toto;
et dans page2b.php j'attribut a $_SESSION['var1']=tata;
puis je redirige le tout vers la page page2.php
mais c'est franchement du bricolage
donc dans un tel cas il je ne peut pas utiliser mes sessions.
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
car imagine mon de est
dans une page : page1.php
pour toto clic ici
pour tata clic ici
je peut faire
dans une page : page1.php
pour toto clic ici
pour tata clic ici
et dans page2a.php j'attribut a $_SESSION['var1']=toto;
et dans page2b.php j'attribut a $_SESSION['var1']=tata;
puis je redirige le tout vers la page page2.php
mais c'est franchement du bricolage
donc dans un tel cas il je ne peut pas utiliser mes sessions.
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
XsatanaX
Messages postés
122
Date d'inscription
samedi 6 mars 2004
Statut
Membre
Dernière intervention
5 mai 2004
31 mars 2004 à 20:14
31 mars 2004 à 20:14
Ok, correct dans ton cas ya pas photo,*
te reste + qu'a encryter les donneés que tu passes
dans l'URL md5()
http://www.nexen.net/docs/php/annotee/function.md5.php
te reste + qu'a encryter les donneés que tu passes
dans l'URL md5()
http://www.nexen.net/docs/php/annotee/function.md5.php
perig
Messages postés
358
Date d'inscription
vendredi 1 novembre 2002
Statut
Membre
Dernière intervention
5 septembre 2006
31 mars 2004 à 20:57
31 mars 2004 à 20:57
ha vi je peut ptétre utiliser le md5()!!! je vais voir ca
sinon
Y'a t'il moyen de pirater la méthode post ?
pq si le gars repére le nom de ma page (new.php qui permet de rajouter des truc dans ma base sql) qui est appelé a la validation du "form" (ce script ne marche que si des données valides lui sont envoyés)
alors il peut recreer sur son serveur un form avec la methode post qui pointe sur mon server, sur le fichier new.php et donc remplir toute ma base avec des truc a la con.
A moins que la méthode poste ne marche pas d'un server a l'autre!!!
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
sinon
Y'a t'il moyen de pirater la méthode post ?
pq si le gars repére le nom de ma page (new.php qui permet de rajouter des truc dans ma base sql) qui est appelé a la validation du "form" (ce script ne marche que si des données valides lui sont envoyés)
alors il peut recreer sur son serveur un form avec la methode post qui pointe sur mon server, sur le fichier new.php et donc remplir toute ma base avec des truc a la con.
A moins que la méthode poste ne marche pas d'un server a l'autre!!!
---Perig---
Pour vous servir 8-)
Et parfois en galère :blush)
Souvent même :)
cs_zzzzzz
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
1 avril 2004 à 12:59
1 avril 2004 à 12:59
merci pour les reponses lol! au fait Perig te fait pas chiez avec le js pour les profils on va faire ca par la metode get et on va y crypté en md5(fallais y pensser) sinon se qui ma fait douté pour Duss (mon pote :p) c que j'ai passé sur une page test.php avec juste 1 echo $var; et par l'url j'ai mit ?&var=coco et ca ma bien affiché coco ... =] donc je me dit que si on peut afecter une variable via une url. bé on peut surrement faire autre chose le pire ca serrai de mettre une fonction dans l'url :}
