xactise
Messages postés507Date d'inscriptionmardi 18 février 2003StatutMembreDernière intervention22 juin 2012
-
25 août 2005 à 16:53
Evangun
Messages postés1980Date d'inscriptiondimanche 20 février 2005StatutMembreDernière intervention24 septembre 2012
-
25 août 2005 à 19:11
Bijour, voila j'ai creer une petite shoutbox pour mon site CS un truc tout simple
texte de saisie message , texte de saiei pseudo , popup pour les diferent smyley
et le tout est afficher dans un petit cadre (enfin bref tout le monde c'est ce que c'est une shoutbox)
le pb c kil y a 2jour je me suis fait "hacker" ma petite shoutbox en effet une personne mal intentioner et voulant faire chier son monde a taper ceci comme message :
<script>document.location="http://www.google.fr";</script>
ce qui vous l'auez tous compri redirectionnez mon site sur google des que la shoutbox été charger de SQL
J'ai vite tester sa sur un site utilisant nuked klan (C'est des site préconstruit pour les team de jeux enr eseau)
et la faille en fonctionne pas. J'ai donc un peu mater leur source mais vu le nombre de page et leur complexité j'ai pas trouver grand chause
si quelqu'un sait comment regler ce problème je suis prenant ;)
En vous souhaitant une bonne journée
D'avance merci
xactise
Messages postés507Date d'inscriptionmardi 18 février 2003StatutMembreDernière intervention22 juin 20122 25 août 2005 à 16:55
Bijour, voila j'ai creer une petite shoutbox pour mon site CS un truc tout simple
texte de saisie message , texte de saiei pseudo , popup pour les diferent smyley
et le tout est afficher dans un petit cadre (enfin bref tout le monde c'est ce que c'est une shoutbox)
le pb c kil y a 2jour je me suis fait "hacker" ma petite shoutbox en effet une personne mal intentioner et voulant faire chier son monde a taper ceci comme message :
<script>document.location=" http://www.google.fr ";</script>
J'ai vite tester sa sur un site utilisant nuked klan (C'est des site préconstruit pour les team de jeux enr eseau)
et la faille en fonctionne pas. J'ai donc un peu mater leur source mais vu le nombre de page et leur complexité j'ai pas trouver grand chause
si quelqu'un sait comment regler ce problème je suis prenant ;)
En vous souhaitant une bonne journée
D'avance merci
J_G
Messages postés1406Date d'inscriptionmercredi 17 août 2005StatutMembreDernière intervention28 août 200710 25 août 2005 à 17:17
Salut,
Je sais pas ce que c'est qu'une ShoutBox !!!
C'est le début de la viellesse...
Bref, Tu t'es gentilment fait avoir par ce qu'on appelle "l'injection" en SQL ou le "Xcrossing" en HTML.
Le principe tu le comprends : balancer du code via ton formulaire.
Ce qu'il te faut : protéger les informations venant de "l'extérieur" en
éliminant les caractères ou données interprétable. Pour se faire on
utilise des fonctions filtrantes. Il en existe une foule, applicable
pour tous les cas.
Par exemple (je ne suis plus trés sur de l'orthographe exacte des noms) :