JBLOG 1.0

julio1801 Messages postés 9 Date d'inscription lundi 3 mars 2003 Statut Membre Dernière intervention 20 avril 2006 - 19 avril 2006 à 08:19
moipaci Messages postés 25 Date d'inscription lundi 17 septembre 2007 Statut Membre Dernière intervention 10 mars 2010 - 25 déc. 2007 à 09:45

Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/37135-jblog-1-0

moipaci Messages postés 25 Date d'inscription lundi 17 septembre 2007 Statut Membre Dernière intervention 10 mars 2010
25 déc. 2007 à 09:45

Voilà je trouve que cette version pour débuter contient beaucoup de failles de sécurité, même que pour s'authentifier au backend(interface administrateur) il y a des erreurs et pourquoi ? Les requêtes sql ne sont pas très au point et buguent parfois avec <? ?>, mais sont optimisés avec <?php ?>. Dans la vie de php il faut lors de la déclaration de variable où lors de echo:
echo "";
$exemple = "'.$skdls.'";
Donc va falloir corriger presque tout ça .
Pour ma part seul le design est bon.

asdr Messages postés 9 Date d'inscription samedi 20 mai 2006 Statut Membre Dernière intervention 21 juin 2011
26 nov. 2006 à 03:34

oh j'ai parlé trop vite!(et tout seul!)...j'ai trouvé mon prb!!

asdr Messages postés 9 Date d'inscription samedi 20 mai 2006 Statut Membre Dernière intervention 21 juin 2011
25 nov. 2006 à 20:42

euh finalement j'ai petit souci...
quand on poste un commentaire on ne voit pas ensuite l'email du visiteur qui l'a posté...
C'est balo!!
...si quelqu'un a une solution!

asdr Messages postés 9 Date d'inscription samedi 20 mai 2006 Statut Membre Dernière intervention 21 juin 2011
24 nov. 2006 à 02:02

yep bô boulot...ressemble bocoup à WordPress...mais je préfère le tient, parce qu'il est en français, et qu'il est plus complet!

cs_Bidou Messages postés 5487 Date d'inscription dimanche 4 août 2002 Statut Membre Dernière intervention 20 juin 2013 61
13 août 2006 à 09:20

Gardez votre sang froid s'il vous plaît, pas que ça tourne au vinaigre...

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
13 août 2006 à 01:10

ma vie ne te regarde pas, je suis réaliste sur l'état de ce projet... quand tu écris dans un blog, tu n'aimes pas tout perdre parcequ'un programmeur a laissé des failles...
pour mon site :
http://coucou747.hopto.org

econologie Messages postés 8 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 14 août 2006
12 août 2006 à 22:52

Non j'ai pas lu désolé...t'as un site ou on peut voir tes projets ?

Mais bon je te trouve bien agressif...ca va comme tu veux dans ta vie ?

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
12 août 2006 à 20:06

... t'as lu mes codes sources ??? y trouve t'on une autre signature que la mienne ? NON ! j'ai toujours bossé seul, sauf pour des projets qui sont tombés à l'eau...

econologie Messages postés 8 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 14 août 2006
12 août 2006 à 19:37

Du calme du calme...tu sais les meilleurs projets sont les projets coopératifs non ?

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
12 août 2006 à 17:56

bah oui t'as de l'espoir, et tu veux quoi aussi ??? que je te fasse un joli cheque et que je t'offre une voiture ??? mais j'ai pas que ça à faire moi ! je ne vais pas terminer les projets des autres alors que les miens sont encore en chantier !

econologie Messages postés 8 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 14 août 2006
12 août 2006 à 17:47

Je propose que Coucou747 corrige et securise le code :)

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
8 juin 2006 à 13:42

ça fait 10 piges que j'essai de lui expliquer comment sécuriser son code, et comment faire en sorte que si il dépasse les 10 000 messages, ça ne rame pas... et il n'en fait rien...

djey83 Messages postés 5 Date d'inscription samedi 11 novembre 2000 Statut Membre Dernière intervention 21 mars 2009
8 juin 2006 à 13:39

que de critique coucou 747 c'est usant !!!!

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
3 juin 2006 à 14:20

ça reste un code crade et pas sécurisé...

Le Prince Dragon Messages postés 24 Date d'inscription mercredi 12 avril 2006 Statut Membre Dernière intervention 26 janvier 2007
3 juin 2006 à 14:16

merci pour le jblog
très jollie

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
20 avril 2006 à 18:46

mais c'est pas vrai... pour que ton code soit corect, faut que je me tapes la lecture de tout tes fichiers ???
form.php il reste un <? et une injection sql sur $nom !

$query="INSERT INTO `guestbook` (`date` , `name` , `email` , `COMMENT` , `id_post` ) VALUES ('$date', '$nom', '$mail', '$message','$idpost')";
[...]
quote_smart($_POST['idpost']);
quote_smart($_POST['msg']);
quote_smart($_POST['nom']);
quote_smart($_POST['mail']);

bah oui, faire la vérification ensuite, c'est trop tard !

fichier : /infos.php
$query="SELECT * FROM perso";
$result=mysql_query($query) or die(mysql_error());
while($val=mysql_fetch_assoc($result))
{
$nom = $val["nom"];
$prenom = $val["prenom"];
$age = $val["age"];
$job = $val["job"];
$descr = $val["descr"];
}
tu penses pas que faire une boucle pour récupérer seulement 5 variables c'est trop ? tu pourrais pas au moins ajouter un LIMIT... au mieux ajouter autre chose pour prendre directement le dèrnier...
plus loin :
<?
mysql_close($link);
?>
bref, t'as tennu compte de mes commentaires seulement pour des fichiers isolés...

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
20 avril 2006 à 18:35

ajax, ça n'est pas synonime de code niveau expert... loin de là, sinon, 95% de mes codes seraient expert... tu sais faire du ajax, c'est pas compliqué... t'as juste à ajouter un peu de javascript...

julio1801 Messages postés 9 Date d'inscription lundi 3 mars 2003 Statut Membre Dernière intervention 20 avril 2006
20 avril 2006 à 18:15

- correction des bug de sécurité (injection SQL)
- correction diverse

Pour le reste; ce sera dans la version 1.1

J'avais ce code en "expert" car je penser y intégrer la technologie AJAX ... que j'utiliserai dès la version 1.1 de JBlog. (j'ai donc descendu en intermédiaire)

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
19 avril 2006 à 20:58

tu as gardé des <? par exemple dans /contact.php, connection.php,

trop de SELECT *, trop de "...

beaucoup de balises dépressiées

des preg_replace à remplacer par des str_replace

$result=mysql_query($query) or die("La base de données n'est pas installer; pour l'installer cliquer ici");

d'une part, c'est installée, et d'autre part, ce n'est pas la seule cause possible de bug...

<title>>> <? echo $nom; ?> </title> t'as deux > en trop, et t'as des short tags...

<script type="javascript"> doit être remplacé par : <script type="text/javascript">

while($val=mysql_fetch_assoc($result))
{
$bool = $val["bool"];
}

je crois que tu pourrais optimiser ta requette pour ne retourner qu'un seul champ, et de toute façon, ne prendre qu'un seul champ... enlever cette boucle...

fichier include/tri.inc.php
on peut faire des injections sql à la pelle

fichier : fct_recherche.inc.php
ton eregi va faire ramer ton pc...

ton formulaire de recherche est encore sensible aux injections sql...

/commentaire/form.php

idem, on peut injecter ce que l'on veut...
je ne vois pas à quoi peut servire ton sleep(1);

bref, ça ne vaut pas expert, puisque c'est encore plein de failles, alors décend au moins à intermédiaire...

julio1801 Messages postés 9 Date d'inscription lundi 3 mars 2003 Statut Membre Dernière intervention 20 avril 2006
19 avril 2006 à 20:32

Voila, bug corrigé !
Les améliorations viendront avec les versions supérieurs.

julio1801 Messages postés 9 Date d'inscription lundi 3 mars 2003 Statut Membre Dernière intervention 20 avril 2006
19 avril 2006 à 13:55

Salut, merci pour ces précieuses remarques; je vais corrigé tous ça !

Bon, ce n'est qu'une version 1.0 : la prochaine version sera valide XHTML 1.1 ...

Si tu as d'autres remarques n'hésite pas !

coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
19 avril 2006 à 13:37

commentaires classiques :
<?
doit être remplacé par <?php pour ne pas confondre avec des xml...
trop de " à mon gout, surtout quand on peut les remplacer facilement par des '...
<?
mysql_close($link);
?>

mettre ça à la fin, c'est pas un bon choix... on doit le mettre après la dèrnière requette... et ne pas ouvrire de balises php pour ça... surtout pas des short tags...

fichier commentaires/index.php
$sql2=mysql_query("SELECT COUNT(*) AS nb_msg FROM guestbook WHERE id_post ='$_GET[id]' ") or die("Query1 failed");
tu es sensible à une injection sql... tu n'as fait aucune vérification sur ton id, et tu n'as pas de guillemets, donc, même avec des paramètres corectes, on peut exécuter des choses pas tout à fait corectes...

<center>
...
<table cellspacing="0" cellpadding="0" width="500px" class="form">
<tr align="center">

en xhtml, ça passe mal...

julio1801 Messages postés 9 Date d'inscription lundi 3 mars 2003 Statut Membre Dernière intervention 20 avril 2006
19 avril 2006 à 08:19

Voilà, j'attend vos commentaires et/ou remarques.

Discussions similaires

Emulateur WIndows ce

Lire des pdf en VB6 (avec ou sans Adobe Acrobat Reader 7)

Utilisation API ADOBE ACROBAT PRO avec VBA Excel

HTML 4.0 XHTML 1.0 ???

Adobe Acrobat Type library

Votre réponse

Discussions similaires