Besoin d'aide pour sécuriser un script
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
-
25 janv. 2005 à 17:51
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 - 26 janv. 2005 à 14:53
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 - 26 janv. 2005 à 14:53
A voir également:
- Besoin d'aide pour sécuriser un script
- Script pour prendre rendez-vous tlscontact - Forum PHP
- Oracle script ✓ - Forum VB.NET
- Tampermonkey script tls - Forum Javascript / DHTML
- Script loterie ✓ - Forum PHP
- Connexion au serveur smtp via TLS - Forum Java
12 réponses
cs_eXon
Messages postés
166
Date d'inscription
lundi 17 janvier 2005
Statut
Membre
Dernière intervention
8 avril 2007
1
25 janv. 2005 à 17:57
25 janv. 2005 à 17:57
Utilise la commande htmlentities(string) pour changé les <, >, etc. par leur code HTML qui va l'afficher.
----------------
eXon
http://www.lookstrike.com
----------------
eXon
http://www.lookstrike.com
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
25 janv. 2005 à 18:01
25 janv. 2005 à 18:01
Si j'utilise htmlentities et que je réaffiche la chaine derriére elle n'est plus interprété comme du html par internet explorer ... Autrement dit les balises apparaissent "en clair" sur la page ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_eXon
Messages postés
166
Date d'inscription
lundi 17 janvier 2005
Statut
Membre
Dernière intervention
8 avril 2007
1
25 janv. 2005 à 18:16
25 janv. 2005 à 18:16
Si c'est l'executé ton code HTML je ne vois pas le problème. Tu n'as
qu'à utilisé un addslashes lorsque tu l'envoi et stripslashes pour les
enlever lors de l'affichage.
----------------
eXon
http://www.lookstrike.com
qu'à utilisé un addslashes lorsque tu l'envoi et stripslashes pour les
enlever lors de l'affichage.
----------------
eXon
http://www.lookstrike.com
cs_Anthomicro
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
25 janv. 2005 à 18:19
25 janv. 2005 à 18:19
Salut ;-)
un addslashes et un truc de ce genre :
$texte=preg_replace('`(<script(.*?)>|</script>)`sim','',$texte);
ça fera sauter le javascript ;-)
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
un addslashes et un truc de ce genre :
$texte=preg_replace('`(<script(.*?)>|</script>)`sim','',$texte);
ça fera sauter le javascript ;-)
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
26 janv. 2005 à 09:57
26 janv. 2005 à 09:57
Ce que je voudrais c utiliser le HTML uniquement et me prémunir de toute injection de code ... La addslashes ne protége pas d'éventuelles injection de code et la solution de Anthomicro ne me protége que de l'injection javascript ...
Est - ce que quelqu'un peux me livre ce pti secret ?
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
Est - ce que quelqu'un peux me livre ce pti secret ?
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
26 janv. 2005 à 09:59
26 janv. 2005 à 09:59
J'ai oublié une autre question comment se protéger dans ce cadre d'éventuelles injection SQL ???
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_Anthomicro
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
26 janv. 2005 à 14:03
26 janv. 2005 à 14:03
Ah ok je comprends mieux. Même si du code PHP est entré dans ta base,
il ne sera pas analysé par php. Le tout est de bien utiliser la
fonction addslashes. Ensuite le bout de code que je t'ai passé enlève
les balises correspondant au javascript pour éviter d'afficher des
messagesbox, de faire des redirections...
Mais si tu nous précisais vraiment à quoi sert ton script, ce que tu veux faire on pourrait peut être t'aider mieux.
Donc la fonction addslashes protège complètement les insertions dans ta
base. Comme l'insertion est protégée, je ne vois pas ce que tu peux
faire de plus...
Pour éviter les failles de SQL injection : outre le fait d'utiliser
addslashes, je préconise pour les logins et passwords d'empêcher les
caractères spéciaux via une expression régulière :
if(eregi("[\^'$()*+<>?#"{}\\]",$pseudo_membre) OR eregi("[\^'$()*+<>?#"{}\\]",$passe_membre))
{
//il y a des caractères spéciaux
exit;
}
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
il ne sera pas analysé par php. Le tout est de bien utiliser la
fonction addslashes. Ensuite le bout de code que je t'ai passé enlève
les balises correspondant au javascript pour éviter d'afficher des
messagesbox, de faire des redirections...
Mais si tu nous précisais vraiment à quoi sert ton script, ce que tu veux faire on pourrait peut être t'aider mieux.
Donc la fonction addslashes protège complètement les insertions dans ta
base. Comme l'insertion est protégée, je ne vois pas ce que tu peux
faire de plus...
Pour éviter les failles de SQL injection : outre le fait d'utiliser
addslashes, je préconise pour les logins et passwords d'empêcher les
caractères spéciaux via une expression régulière :
if(eregi("[\^'$()*+<>?#"{}\\]",$pseudo_membre) OR eregi("[\^'$()*+<>?#"{}\\]",$passe_membre))
{
//il y a des caractères spéciaux
exit;
}
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
26 janv. 2005 à 14:11
26 janv. 2005 à 14:11
Salut et merci,
C'est pour afficher un mise en page personnalisé pour mes utilisateurs que je cherche à utiliser htmlarea. Un peu comme dans le programme que tu utilises en ce moment pour me réspondre.
Je suis ok pour l'injection sql c comme ça que je fait aussi mais le probléme qui va se poser c'est que le script va bloquer mon insertion si l'utilisateur tape :
augmentation de 1%
Pour moi interdire les caractére spéciaux n'est pas une solution en soit même si j'ai l'impressions que c'est la seule. De la même maniére ton code bloque les scripts javascript mais qu'en est-il des scripts Vb script ou des autres langages par exemple ...
Je ne connait rien en vbscript pourtant ne bloquer qu'un langage me semble une solution plutôt permissive ....
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
C'est pour afficher un mise en page personnalisé pour mes utilisateurs que je cherche à utiliser htmlarea. Un peu comme dans le programme que tu utilises en ce moment pour me réspondre.
Je suis ok pour l'injection sql c comme ça que je fait aussi mais le probléme qui va se poser c'est que le script va bloquer mon insertion si l'utilisateur tape :
augmentation de 1%
Pour moi interdire les caractére spéciaux n'est pas une solution en soit même si j'ai l'impressions que c'est la seule. De la même maniére ton code bloque les scripts javascript mais qu'en est-il des scripts Vb script ou des autres langages par exemple ...
Je ne connait rien en vbscript pourtant ne bloquer qu'un langage me semble une solution plutôt permissive ....
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
26 janv. 2005 à 14:16
26 janv. 2005 à 14:16
PS: concernant le hachage de login et mot de passe un simple cryptage md5() te prémunie de ce genre de désagréments ... Hélas on peux pas tout le tps utiliser un cryptage ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_Anthomicro
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
26 janv. 2005 à 14:22
26 janv. 2005 à 14:22
Le VBscript est également bloqué, car il commence par <script>
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
sky_striker
Messages postés
41
Date d'inscription
lundi 26 juillet 2004
Statut
Membre
Dernière intervention
28 octobre 2005
26 janv. 2005 à 14:28
26 janv. 2005 à 14:28
Salut c vrai pour le <script> désolé ...
Par contre pour l'injection sql c l'unique moyen ? parce que si il existe une caractére que l'on ignore ça va chauffer ...
En tout cas merci de ton aide ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
Par contre pour l'injection sql c l'unique moyen ? parce que si il existe une caractére que l'on ignore ça va chauffer ...
En tout cas merci de ton aide ...
Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment
cs_Anthomicro
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
26 janv. 2005 à 14:53
26 janv. 2005 à 14:53
Le addslashes suffit pour sécuriser les insertions. Les caractères
spéciaux c'est plus si t'as pas envie de te saouler pour la gestion
future lorsque t'affiches un pseudo, que t'as des indices
correspondants au pseudo dans les urls, etc...
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)
spéciaux c'est plus si t'as pas envie de te saouler pour la gestion
future lorsque t'affiches un pseudo, que t'as des indices
correspondants au pseudo dans les urls, etc...
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Forum d'entraide informatique (14 catégories)