cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 2007
-
24 janv. 2006 à 11:18
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009
-
27 juin 2006 à 23:25
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 27 juin 2006 à 23:25
bonsoir
>ABDELMOUMENE> pour ton info, le code est marqué comme "débutant" donc ce que tu dis c'est normal. par contre tu sembles le dire de manière négative. Il aurait été de bon aloi de préciser quelle est la partie qui te déplait et comment y remedier.
En attendant le post d'une source ou d'un commentaire constructif... bonne soirée à tous.
cs_abdelmoumene
Messages postés1Date d'inscriptionjeudi 12 mai 2005StatutMembreDernière intervention27 juin 2006 27 juin 2006 à 14:58
Désolé, mais cette source n'est pas très intéressante.
C'est vraiement du code de débutant, avec des fonctionalités de débutant.
On ne devrai pas laissé ce genre de code diffusé dans un site de spécialistes !!!
OneHacker
Messages postés1447Date d'inscriptionjeudi 2 novembre 2000StatutMembreDernière intervention23 septembre 20072 20 févr. 2006 à 00:24
Je note pas encore pour l'instant, je constate que ta démo ne marche pas !
Redman
cs_greg03
Messages postés4Date d'inscriptionvendredi 10 février 2006StatutMembreDernière intervention10 février 2006 10 févr. 2006 à 21:49
sa marche pas quasnd jinstalle sur mon ftp
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 6 févr. 2006 à 23:30
C'est effectivement bourré de failles...
cs_emilia123
Messages postés122Date d'inscriptionmercredi 19 décembre 2001StatutMembreDernière intervention 5 janvier 2009 6 févr. 2006 à 22:04
bonsoir,
j'aurais un petit point à faire sur la sécurité.... je n'ai absolument pas regardé le code source.. mais en trois essais voici mes petites conclusions!
1) aucun test sur les informations rentrées dans le formulaire d'ajout(possibilité de mettre du javascript)
2) pas de test des variable passé pour l'affichage du profil.. possibilité de cross scripting (ex: profil.php?nom=<script>alert(document.cookie);</script>)
3) grasse à tout cela, quelqun connaissant le fonctionnement des pages (en gros tout le monde vu que ton script est dispo ici) pourrait envoyer un lien avec du javascript dedans afin de récupérer les cookies des administrateurs qui cliqueraient sur ce lien.
La correction est simple a mettre en place.. htmlentities.. et hop moins de risque.
en général, ne jamais afficher ou utiliser une variable, quelle qu'en soit l'origine, sans la nettoyer, et faire des tests dessus (variable présente, type de la variable, présence de caractère interdit, etc)
Voila... bonne correction..
TheSin
Messages postés331Date d'inscriptionmardi 12 novembre 2002StatutMembreDernière intervention10 février 2009 30 janv. 2006 à 14:16
tu pourrais corriger les header sent quand même.
une redirection par php se fait avant d'écrire quoi que ce soit dans le buffer, soit aucun echo, printf, et cie ...
que du code php avant un header, jamais d'html ou autre ;)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 29 janv. 2006 à 10:01
"quel interet de faire une classe MySQL?"
Un seul fichier qui contient toutes les fonctions, tu passes pas par un enième fichier de config dispersé, tu peux te connecter à la base quand tu veux, te déconnecter aussi (optimisation), et moins de code dans tes pages principales puisque tout est dans la classe. Enfin bon tu peux aussi faire des fonctions dans un fichier à part...
a +
ptitkeupon
Messages postés6Date d'inscriptionvendredi 18 février 2005StatutMembreDernière intervention28 janvier 2006 28 janv. 2006 à 12:45
Merci de ton aide, je vais régler le pb du cookie, par contre quel interet de faire une classe MySQL? et je ne connais pas le pb de SELECT *, j'ai appris comme ça, comment faut il faire? pour les templates je suis en train d'étudier les classes de templates pour comprendre le fonctionnement :)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 27 janv. 2006 à 16:52
fichier ajout.php
if(isset($_COOKIE['admin']))
heu attention y'a une belle faille de sécurité, le mec qui crée un cookie admin peut se logguer. corrige ça vite ;-)
Sinon pour la classe client j'aurais pas fait ça, perso j'aurais fait une classe MySQL (histoire de bien gérer les requêtes, au passage évite le SELECT *)
dans le config.php j'aurais pas mis de mysql_connect() automatique :-(
dans "liste.php" > <?=$_COOKIE['admin']?>
<?php echo $_COOKIE['admin']; ?>
et encore ça reste brouillon (si le cookie n'existe pas).
bref sinon y'a beaucoup de html dans ton code php, tu pourrais faire un système de templates simples à base d'include.
a +
ptitkeupon
Messages postés6Date d'inscriptionvendredi 18 février 2005StatutMembreDernière intervention28 janvier 2006 26 janv. 2006 à 18:31
Merci, oui en effet je suis pas designer ^^ et c'est pas le but recherché, par contre est-ce que quelqu'un veut me donner un avis sur le code ?
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 25 janv. 2006 à 20:54
Ok, y'a une erreur de headers already sent quand tu te connectes, et puis sinon c'est pas mal enfin c'est simple niveau style ^^
ptitkeupon
Messages postés6Date d'inscriptionvendredi 18 février 2005StatutMembreDernière intervention28 janvier 2006 25 janv. 2006 à 20:19
27 juin 2006 à 23:25
>ABDELMOUMENE> pour ton info, le code est marqué comme "débutant" donc ce que tu dis c'est normal. par contre tu sembles le dire de manière négative. Il aurait été de bon aloi de préciser quelle est la partie qui te déplait et comment y remedier.
En attendant le post d'une source ou d'un commentaire constructif... bonne soirée à tous.
27 juin 2006 à 14:58
C'est vraiement du code de débutant, avec des fonctionalités de débutant.
On ne devrai pas laissé ce genre de code diffusé dans un site de spécialistes !!!
20 févr. 2006 à 00:24
Redman
10 févr. 2006 à 21:49
6 févr. 2006 à 23:30
6 févr. 2006 à 22:04
j'aurais un petit point à faire sur la sécurité.... je n'ai absolument pas regardé le code source.. mais en trois essais voici mes petites conclusions!
1) aucun test sur les informations rentrées dans le formulaire d'ajout(possibilité de mettre du javascript)
2) pas de test des variable passé pour l'affichage du profil.. possibilité de cross scripting (ex: profil.php?nom=<script>alert(document.cookie);</script>)
3) grasse à tout cela, quelqun connaissant le fonctionnement des pages (en gros tout le monde vu que ton script est dispo ici) pourrait envoyer un lien avec du javascript dedans afin de récupérer les cookies des administrateurs qui cliqueraient sur ce lien.
La correction est simple a mettre en place.. htmlentities.. et hop moins de risque.
en général, ne jamais afficher ou utiliser une variable, quelle qu'en soit l'origine, sans la nettoyer, et faire des tests dessus (variable présente, type de la variable, présence de caractère interdit, etc)
Voila... bonne correction..
30 janv. 2006 à 14:16
une redirection par php se fait avant d'écrire quoi que ce soit dans le buffer, soit aucun echo, printf, et cie ...
que du code php avant un header, jamais d'html ou autre ;)
29 janv. 2006 à 10:01
Un seul fichier qui contient toutes les fonctions, tu passes pas par un enième fichier de config dispersé, tu peux te connecter à la base quand tu veux, te déconnecter aussi (optimisation), et moins de code dans tes pages principales puisque tout est dans la classe. Enfin bon tu peux aussi faire des fonctions dans un fichier à part...
a +
28 janv. 2006 à 12:45
27 janv. 2006 à 16:52
if(isset($_COOKIE['admin']))
heu attention y'a une belle faille de sécurité, le mec qui crée un cookie admin peut se logguer. corrige ça vite ;-)
Sinon pour la classe client j'aurais pas fait ça, perso j'aurais fait une classe MySQL (histoire de bien gérer les requêtes, au passage évite le SELECT *)
dans le config.php j'aurais pas mis de mysql_connect() automatique :-(
dans "liste.php" > <?=$_COOKIE['admin']?>
<?php echo $_COOKIE['admin']; ?>
et encore ça reste brouillon (si le cookie n'existe pas).
bref sinon y'a beaucoup de html dans ton code php, tu pourrais faire un système de templates simples à base d'include.
a +
26 janv. 2006 à 18:31
25 janv. 2006 à 20:54
25 janv. 2006 à 20:19
Login: test
Pass: test
24 janv. 2006 à 19:22
24 janv. 2006 à 11:18
y'aurait-il moyen d'avoir une démo en ligne stp ? merci