julio1801
Messages postés9Date d'inscriptionlundi 3 mars 2003StatutMembreDernière intervention20 avril 2006
-
19 avril 2006 à 08:19
moipaci
Messages postés25Date d'inscriptionlundi 17 septembre 2007StatutMembreDernière intervention10 mars 2010
-
25 déc. 2007 à 09:45
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
moipaci
Messages postés25Date d'inscriptionlundi 17 septembre 2007StatutMembreDernière intervention10 mars 2010 25 déc. 2007 à 09:45
Voilà je trouve que cette version pour débuter contient beaucoup de failles de sécurité, même que pour s'authentifier au backend(interface administrateur) il y a des erreurs et pourquoi ? Les requêtes sql ne sont pas très au point et buguent parfois avec <? ?>, mais sont optimisés avec <?php ?>. Dans la vie de php il faut lors de la déclaration de variable où lors de echo:
echo "";
$exemple = "'.$skdls.'";
Donc va falloir corriger presque tout ça .
Pour ma part seul le design est bon.
asdr
Messages postés9Date d'inscriptionsamedi 20 mai 2006StatutMembreDernière intervention21 juin 2011 26 nov. 2006 à 03:34
oh j'ai parlé trop vite!(et tout seul!)...j'ai trouvé mon prb!!
asdr
Messages postés9Date d'inscriptionsamedi 20 mai 2006StatutMembreDernière intervention21 juin 2011 25 nov. 2006 à 20:42
euh finalement j'ai petit souci...
quand on poste un commentaire on ne voit pas ensuite l'email du visiteur qui l'a posté...
C'est balo!!
...si quelqu'un a une solution!
asdr
Messages postés9Date d'inscriptionsamedi 20 mai 2006StatutMembreDernière intervention21 juin 2011 24 nov. 2006 à 02:02
yep bô boulot...ressemble bocoup à WordPress...mais je préfère le tient, parce qu'il est en français, et qu'il est plus complet!
cs_Bidou
Messages postés5487Date d'inscriptiondimanche 4 août 2002StatutMembreDernière intervention20 juin 201361 13 août 2006 à 09:20
Gardez votre sang froid s'il vous plaît, pas que ça tourne au vinaigre...
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 13 août 2006 à 01:10
ma vie ne te regarde pas, je suis réaliste sur l'état de ce projet... quand tu écris dans un blog, tu n'aimes pas tout perdre parcequ'un programmeur a laissé des failles...
pour mon site :
http://coucou747.hopto.org
econologie
Messages postés8Date d'inscriptionsamedi 12 août 2006StatutMembreDernière intervention14 août 2006 12 août 2006 à 22:52
Non j'ai pas lu désolé...t'as un site ou on peut voir tes projets ?
Mais bon je te trouve bien agressif...ca va comme tu veux dans ta vie ?
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 août 2006 à 20:06
... t'as lu mes codes sources ??? y trouve t'on une autre signature que la mienne ? NON ! j'ai toujours bossé seul, sauf pour des projets qui sont tombés à l'eau...
econologie
Messages postés8Date d'inscriptionsamedi 12 août 2006StatutMembreDernière intervention14 août 2006 12 août 2006 à 19:37
Du calme du calme...tu sais les meilleurs projets sont les projets coopératifs non ?
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 août 2006 à 17:56
bah oui t'as de l'espoir, et tu veux quoi aussi ??? que je te fasse un joli cheque et que je t'offre une voiture ??? mais j'ai pas que ça à faire moi ! je ne vais pas terminer les projets des autres alors que les miens sont encore en chantier !
econologie
Messages postés8Date d'inscriptionsamedi 12 août 2006StatutMembreDernière intervention14 août 2006 12 août 2006 à 17:47
Je propose que Coucou747 corrige et securise le code :)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 8 juin 2006 à 13:42
ça fait 10 piges que j'essai de lui expliquer comment sécuriser son code, et comment faire en sorte que si il dépasse les 10 000 messages, ça ne rame pas... et il n'en fait rien...
djey83
Messages postés5Date d'inscriptionsamedi 11 novembre 2000StatutMembreDernière intervention21 mars 2009 8 juin 2006 à 13:39
que de critique coucou 747 c'est usant !!!!
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 3 juin 2006 à 14:20
ça reste un code crade et pas sécurisé...
Le Prince Dragon
Messages postés24Date d'inscriptionmercredi 12 avril 2006StatutMembreDernière intervention26 janvier 2007 3 juin 2006 à 14:16
merci pour le jblog
très jollie
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 20 avril 2006 à 18:46
mais c'est pas vrai... pour que ton code soit corect, faut que je me tapes la lecture de tout tes fichiers ???
form.php il reste un <? et une injection sql sur $nom !
bah oui, faire la vérification ensuite, c'est trop tard !
fichier : /infos.php
$query="SELECT * FROM perso";
$result=mysql_query($query) or die(mysql_error());
while($val=mysql_fetch_assoc($result))
{
$nom = $val["nom"];
$prenom = $val["prenom"];
$age = $val["age"];
$job = $val["job"];
$descr = $val["descr"];
}
tu penses pas que faire une boucle pour récupérer seulement 5 variables c'est trop ? tu pourrais pas au moins ajouter un LIMIT... au mieux ajouter autre chose pour prendre directement le dèrnier...
plus loin :
<?
mysql_close($link);
?>
bref, t'as tennu compte de mes commentaires seulement pour des fichiers isolés...
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 20 avril 2006 à 18:35
ajax, ça n'est pas synonime de code niveau expert... loin de là, sinon, 95% de mes codes seraient expert... tu sais faire du ajax, c'est pas compliqué... t'as juste à ajouter un peu de javascript...
julio1801
Messages postés9Date d'inscriptionlundi 3 mars 2003StatutMembreDernière intervention20 avril 2006 20 avril 2006 à 18:15
- correction des bug de sécurité (injection SQL)
- correction diverse
Pour le reste; ce sera dans la version 1.1
J'avais ce code en "expert" car je penser y intégrer la technologie AJAX ... que j'utiliserai dès la version 1.1 de JBlog. (j'ai donc descendu en intermédiaire)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 19 avril 2006 à 20:58
tu as gardé des <? par exemple dans /contact.php, connection.php,
trop de SELECT *, trop de "...
beaucoup de balises dépressiées
des preg_replace à remplacer par des str_replace
$result=mysql_query($query) or die("La base de données n'est pas installer; pour l'installer cliquer ici");
d'une part, c'est installée, et d'autre part, ce n'est pas la seule cause possible de bug...
<title>>> <? echo $nom; ?> </title> t'as deux > en trop, et t'as des short tags...
<script type="javascript"> doit être remplacé par : <script type="text/javascript">
je crois que tu pourrais optimiser ta requette pour ne retourner qu'un seul champ, et de toute façon, ne prendre qu'un seul champ... enlever cette boucle...
fichier include/tri.inc.php
on peut faire des injections sql à la pelle
fichier : fct_recherche.inc.php
ton eregi va faire ramer ton pc...
ton formulaire de recherche est encore sensible aux injections sql...
/commentaire/form.php
idem, on peut injecter ce que l'on veut...
je ne vois pas à quoi peut servire ton sleep(1);
bref, ça ne vaut pas expert, puisque c'est encore plein de failles, alors décend au moins à intermédiaire...
julio1801
Messages postés9Date d'inscriptionlundi 3 mars 2003StatutMembreDernière intervention20 avril 2006 19 avril 2006 à 20:32
Voila, bug corrigé !
Les améliorations viendront avec les versions supérieurs.
julio1801
Messages postés9Date d'inscriptionlundi 3 mars 2003StatutMembreDernière intervention20 avril 2006 19 avril 2006 à 13:55
Salut, merci pour ces précieuses remarques; je vais corrigé tous ça !
Bon, ce n'est qu'une version 1.0 : la prochaine version sera valide XHTML 1.1 ...
Si tu as d'autres remarques n'hésite pas !
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 19 avril 2006 à 13:37
commentaires classiques :
<?
doit être remplacé par <?php pour ne pas confondre avec des xml...
trop de " à mon gout, surtout quand on peut les remplacer facilement par des '...
<?
mysql_close($link);
?>
mettre ça à la fin, c'est pas un bon choix... on doit le mettre après la dèrnière requette... et ne pas ouvrire de balises php pour ça... surtout pas des short tags...
fichier commentaires/index.php
$sql2=mysql_query("SELECT COUNT(*) AS nb_msg FROM guestbook WHERE id_post ='$_GET[id]' ") or die("Query1 failed");
tu es sensible à une injection sql... tu n'as fait aucune vérification sur ton id, et tu n'as pas de guillemets, donc, même avec des paramètres corectes, on peut exécuter des choses pas tout à fait corectes...
25 déc. 2007 à 09:45
echo "";
$exemple = "'.$skdls.'";
Donc va falloir corriger presque tout ça .
Pour ma part seul le design est bon.
26 nov. 2006 à 03:34
25 nov. 2006 à 20:42
quand on poste un commentaire on ne voit pas ensuite l'email du visiteur qui l'a posté...
C'est balo!!
...si quelqu'un a une solution!
24 nov. 2006 à 02:02
13 août 2006 à 09:20
13 août 2006 à 01:10
pour mon site :
http://coucou747.hopto.org
12 août 2006 à 22:52
Mais bon je te trouve bien agressif...ca va comme tu veux dans ta vie ?
12 août 2006 à 20:06
12 août 2006 à 19:37
12 août 2006 à 17:56
12 août 2006 à 17:47
8 juin 2006 à 13:42
8 juin 2006 à 13:39
3 juin 2006 à 14:20
3 juin 2006 à 14:16
très jollie
20 avril 2006 à 18:46
form.php il reste un <? et une injection sql sur $nom !
$query="INSERT INTO `guestbook` (`date` , `name` , `email` , `COMMENT` , `id_post` ) VALUES ('$date', '$nom', '$mail', '$message','$idpost')";
[...]
quote_smart($_POST['idpost']);
quote_smart($_POST['msg']);
quote_smart($_POST['nom']);
quote_smart($_POST['mail']);
bah oui, faire la vérification ensuite, c'est trop tard !
fichier : /infos.php
$query="SELECT * FROM perso";
$result=mysql_query($query) or die(mysql_error());
while($val=mysql_fetch_assoc($result))
{
$nom = $val["nom"];
$prenom = $val["prenom"];
$age = $val["age"];
$job = $val["job"];
$descr = $val["descr"];
}
tu penses pas que faire une boucle pour récupérer seulement 5 variables c'est trop ? tu pourrais pas au moins ajouter un LIMIT... au mieux ajouter autre chose pour prendre directement le dèrnier...
plus loin :
<?
mysql_close($link);
?>
bref, t'as tennu compte de mes commentaires seulement pour des fichiers isolés...
20 avril 2006 à 18:35
20 avril 2006 à 18:15
- correction diverse
Pour le reste; ce sera dans la version 1.1
J'avais ce code en "expert" car je penser y intégrer la technologie AJAX ... que j'utiliserai dès la version 1.1 de JBlog. (j'ai donc descendu en intermédiaire)
19 avril 2006 à 20:58
trop de SELECT *, trop de "...
beaucoup de balises dépressiées
des preg_replace à remplacer par des str_replace
$result=mysql_query($query) or die("La base de données n'est pas installer; pour l'installer cliquer ici");
d'une part, c'est installée, et d'autre part, ce n'est pas la seule cause possible de bug...
<title>>> <? echo $nom; ?> </title> t'as deux > en trop, et t'as des short tags...
<script type="javascript"> doit être remplacé par : <script type="text/javascript">
while($val=mysql_fetch_assoc($result))
{
$bool = $val["bool"];
}
je crois que tu pourrais optimiser ta requette pour ne retourner qu'un seul champ, et de toute façon, ne prendre qu'un seul champ... enlever cette boucle...
fichier include/tri.inc.php
on peut faire des injections sql à la pelle
fichier : fct_recherche.inc.php
ton eregi va faire ramer ton pc...
ton formulaire de recherche est encore sensible aux injections sql...
/commentaire/form.php
idem, on peut injecter ce que l'on veut...
je ne vois pas à quoi peut servire ton sleep(1);
bref, ça ne vaut pas expert, puisque c'est encore plein de failles, alors décend au moins à intermédiaire...
19 avril 2006 à 20:32
Les améliorations viendront avec les versions supérieurs.
19 avril 2006 à 13:55
Bon, ce n'est qu'une version 1.0 : la prochaine version sera valide XHTML 1.1 ...
Si tu as d'autres remarques n'hésite pas !
19 avril 2006 à 13:37
<?
doit être remplacé par <?php pour ne pas confondre avec des xml...
trop de " à mon gout, surtout quand on peut les remplacer facilement par des '...
<?
mysql_close($link);
?>
mettre ça à la fin, c'est pas un bon choix... on doit le mettre après la dèrnière requette... et ne pas ouvrire de balises php pour ça... surtout pas des short tags...
fichier commentaires/index.php
$sql2=mysql_query("SELECT COUNT(*) AS nb_msg FROM guestbook WHERE id_post ='$_GET[id]' ") or die("Query1 failed");
tu es sensible à une injection sql... tu n'as fait aucune vérification sur ton id, et tu n'as pas de guillemets, donc, même avec des paramètres corectes, on peut exécuter des choses pas tout à fait corectes...
<center>
...
<table cellspacing="0" cellpadding="0" width="500px" class="form">
<tr align="center">
en xhtml, ça passe mal...
19 avril 2006 à 08:19