DEF-BLOG V.1.0.3
nightlord666
Messages postés
746
Date d'inscription
vendredi 17 juin 2005
Statut
Membre
Dernière intervention
23 mai 2007
-
5 juil. 2006 à 22:31
jypees Messages postés 34 Date d'inscription mardi 13 avril 2004 Statut Membre Dernière intervention 19 août 2007 - 7 nov. 2007 à 21:19
jypees Messages postés 34 Date d'inscription mardi 13 avril 2004 Statut Membre Dernière intervention 19 août 2007 - 7 nov. 2007 à 21:19
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/38429-def-blog-v-1-0-3
https://codes-sources.commentcamarche.net/source/38429-def-blog-v-1-0-3
7 nov. 2007 à 21:19
7 nov. 2007 à 17:07
Perso je ne replongerais pas dedans, une version 2 est en cours, vous la retrouverez bientot à cette adresse : www.def-blog.com
8 sept. 2007 à 22:36
pour un int, on met un truc genre isnumeric, intval ou autre, pour une chaine, mysql_escape_string ou addslashes (qui comporte aussi des failles, bien que negligeables, et dues a php et non au code)
8 sept. 2007 à 20:28
Je trouve ce blog tres jolie et assez original .. Le seul truc c'est cette faille de securiter qui existe toujour .
Je ne suis pas un expere donc je doute pouvoir la corriger ...
http://adresse/comadd.php?article=-1%20union%20select%20null,mdp%20from%20def_user
qui ressort le pseudo et idem pour le passe ..
Donc au lieu de critiquer son boulot , sa serait simpa de lui dir ces erreures ,
sa arrange tout le monde comme sa.
Bref en attendant ta prochaine verssion je note celle la , meme avec la faille.
4 sept. 2007 à 13:15
http://files.codes-sources.com/fichier.aspx?id=38429&f=install%5cGo.php
extract($_POST); => berk
if($_POST['serveur']!='') { // pourquoi t'as fait l'extract si tu ne t'en sers pas ?
$pre=$_POST['pre'];
...
$sql = "CREATE TABLE `".$pre."articles` (
oh la grosse injection sql !!!
nan serieux, passe le en debutant, c'est mal code, et t'as plein de failles
4 sept. 2007 à 12:03
Il n'a plus de faille mon blog...
(et une nouvelle version multi-blog est en cours de conception...)
4 sept. 2007 à 12:03
Il n'a plus de faille mon blog...
(et une nouvelle version multi-blog est en cours de conception...)
8 août 2007 à 12:27
4 févr. 2007 à 19:43
1 févr. 2007 à 14:20
Merci pour ton debugging lol.
31 janv. 2007 à 22:50
modifok.php ligne 216 c'est de la que vien le probleme peut tu me dire si c normale ?
31 janv. 2007 à 17:12
Je viens de poster une super mise à jour en version 1.0.2 et j'ai bouché les "cratères" ;)
Si vous voulez plus d'info, http://www.def-blog.com
16 janv. 2007 à 16:05
Merci de m'avoir prévenu de ces énormes failles (que dit-je : cratère). Vous m'avez tous fait peur car depuis juillet dernier je programme une application type CMS (il s'appelle "DCMS") à usage privé. J'ai protégé tout le système (mysql_real_escape_string, filtrage de tout ce qui entre,...). Y a pas longtemps, j'ai acheté un bouquin (PHP 5 Avancé) et je sens que je vais bien potasser la partie "Sécurité". Je ne donnerait pas le lien ni le nom complet de mon application car il se peut qu'il y ait des esprit mal intentionné ici (je ne parle pas de vous, mais de certains visiteurs).
En conclusion, voici une citation que vous devrez retenir :
"Un système complètement sûr est une impossibilité virtuelle" (extrait du manuel officiel de PHP).
Bien à vous,
Maxime "Epoc" "Epoc22" G.
4 nov. 2006 à 18:12
On sait maintenant qui en a qui n'en a pas ;p
4 nov. 2006 à 17:45
3 nov. 2006 à 22:04
:p
3 nov. 2006 à 14:39
bref Je t'ai ajouter si t'a envie de reprendre ce projet...
3 nov. 2006 à 11:24
2 nov. 2006 à 17:46
Juste une chose les gars, à la base, j'ai partagé cette source comme ça, c'était vraiment sans penser à mal... Maintenant, ils en parlent sur tout les sites et on veut ma peau lol...
wizard512 : J'apprecie ton geste, tu as l'air super motivé. Lorsque je disais "sans possiilité de hackage" c'etait en faite de faire un logiciel qui fabriquerais les pages html et les mettrait sur l'hebergeur automatiquement lol. Si tu veux vraiment reprendre le projet, je suis partant, comme ça, j'apprendrais. mon msn : defaite78@hotmail.fr. J'attend ton appel lol.
( D'un autre coté, le niveau expert, voila quoi, c'est quand même un projet complet, peut être pas sans failles (lol) mais quand même...)
22 oct. 2006 à 20:13
non, je ne bosserais pas là dessus, car mon site est la même chose que ça, mais en sécurisé et amélioré... donc, je ne vais pas bosser pour les autres, pour faire un truc que j'ai déjà fait pour moi...
20 oct. 2006 à 14:54
Ok merci pour le support de questions, d'autres codeur....?
CouCou747...?
Autre chose Defaite baisse s'il te plait
le niveaux de ta source, je crois bien que le niveaux expert,
ne correspond pas vraiment disons ^^'
20 oct. 2006 à 14:48
Mais je répondrai sans problème à toute question.
20 oct. 2006 à 14:41
avant tous de s'entraider, mais avant tous veuillez vous
calmer tous les deux ( Defaite & Gdidier2 )
Primo : => Defaite j'ai jetter un petit coups d'oeil sur votre
site et je trouve limite déplacer d'affirmé
des choses fausses, du type :
"il en sera presque impossible de le cracker"
Rien n'est entièrement sécuriser,
Ni même "presque impossible a cracker"
Et bien d'autres remarque, .....
Desio : => Nous allons, bien évidament avec votre accord,
essayer de réparé les 100 et une faille de votre
systeme de blog : Def Blog
( car sans mentir ou vous rabaisser,
je peux vous dire qu'ils y en a énormément )
Êtes vous d'accord.........?
Coordialement
~~ DotWizard512 ~~
P.S.[ 1 ] : Malalam et tous les autres vous etes de la partie,
pour colmaté les brèches de ce systeme de blog...?
P.S.[ 2 ] : Defaite remait en service ton blog, puis jette
un coups d'oeil ici :
"http://blog.defaite.com/header.php?ConnexionON=true&pre=se%
20que%20je%20veux%20Wizard512%20Where%201;"
19 oct. 2006 à 20:00
A la base, je rappelle que je ne conaissais RIEN au Php. Le Def-Blog est mon tout premier projet.
Comme l'avais fait Coucou747, il vous suffit de m'indiquer mes erreurs (Merci Malalam :) mais aussi de me dire comment les régler. Après tout, c'est bien le but de Codes-Sources nan ?
19 oct. 2006 à 15:40
bon, les utilisateurs sont prévenus, au moins.
GDIDIER2 => la (les?) faille n'est pas difficile à trouver. Un tour sur sécunia donne le problème. UN coup d'oeil à comaddok.php fait peur : aucune sécurisation. Tu joues du strip_tags (), soit (ce qui, soit dit en passant, n'est pas la meilleure des solutions), mais tu ne protèges absolument pas contre des injections SQL. Quid de mysql_real_escape_string () ?
Le code est aussi plein d'incohérences, en dehors de ça, tu devrais sérieusement l'optimiser : sur le même fichier, on trouve un extract () dopnt on se demande ce qu'il fout là. Des str_replace à la suite dans le fichier fonctions.php, des variables utilisateurs (GET par exemple) utilisées d'emblée sans aucune vérification d'authenticité, ni même d'existence...etc.
19 oct. 2006 à 12:12
Effectivement, le Def-Blog possède une faille de sécurité importante. Je ne connais malheureusement pas quelle en ai la cause, si quelqu'un la trouve qu'il m'en fasse part.
Pour ce qui est de GDidier, je vous ai effectivement envoyé "boulé" car un mail du type : "Votre script, c'est de la merde, assumer votre bla bla bla bla", je pense que n'importe qui vous aurais répondu de la sorte.
Pour ce qui est du Def-Blog, un véritable moteur de blog est actuellement en conception...
28 juil. 2006 à 12:15
Voila :)
20 juil. 2006 à 20:38
sur mon site ifrance.com, j'ai l'érreur suivante quand j'essaye d'uploader un nouveau
systeme de template, "Abort pclzip.lib.php : Missing zlib extensions "
Bref cette extention n'est apparament pas présente.
Donc ma question est la suivante :
Quelqu'un pourrait me dire comment modifier les extentions de son propre site ifrance,
ou comment installer des templates manuellement.... ?
Merci.... ^^'
~~ DotWizard512 ~~
20 juil. 2006 à 20:24
y compris qu'il faudrait ajouter un addslashes() a la requete de changement
de texte défilant dans la partie admin, sinon voici les erreur qu'on peut obtenir :
Erreur SQL :
UPDATE def_template SET nom='Espace programmation, espace détente ^^'' WHERE numero=5
Normalement avec une requete addslashes() :
UPDATE def_template SET nom='Espace programmation, espace détente ^^\'' WHERE numero=5
Bref sinon bonne chance si tu compte sortir d'otre version, et erncore merci....
Démo de mon blog avec ton systeme : http://dotwizard512.ifrance.com/blog/
10 juil. 2006 à 16:17
Ok, pas de soucis, je vais m'y mettre ;)
Je savais pas qu'on pouvais faire un if comme ça, je vais mettre tout ça à jour, parce que j'en ai des lignes qui recemblent à celle-ci :s
10 juil. 2006 à 16:02
$LeTitre=$row[1];
voir :
if ($row = mysql_fetch_row($result)){
$LeTitre=$row[1];
}
<table style="width:100%;test-align:center;cellpadding:0;cellspacing:0;">
le border=0 ne sert à rien, car une table par défaut n'a pas de bordure.
ensuite, on doit mettre des " aurtout le tout les attributs, et mettre le maximum de style au lieu de mettre des attributs comme ça...
9 juil. 2006 à 21:08
while($row = mysql_fetch_row($result)){
$LeTitre=$row[1];
break;
}
c'est mauvais, par quoi le changerais tu stp ?
Et pour la norme, pareil, tu mettrais quoi ?
<table width="100%" align="center" cellpadding="0" cellspacing="0" border=0>
Ca fait à peine un mois que je fais du php alors, j'apprend :)
8 juil. 2006 à 17:48
Warning: fopen(../connexion.php) [function.fopen]: failed to open stream: Permission denied in /var/www/html/phpcs_source_38429/install/Go.php on line 37
[...]
surprise, pourtant, il croit que l'installation s'est bien déroulée...
tu mélanges simples et doubles quotes...
if (!empty($_POST['mail'])) {
utilise isset pour ça car si une variable n'existe pas, selon moi, elle n'est pas vide... elle n'est pas... ça marche, mais c'est pas propre...
on peut faire des injexions sql partout si le serveur n'est pas bien configuré...
$headers = "Reply-to: "".$LeSite."" <".$MailServeur.">\n";
$headers .= "From: "".$LeSite.""<".$MailServeur.">\n";
$headers .= "MIME-Version: 1.0\n";
$headers .= "Content-Type: multipart/alternative; boundary="$boundary"";
euh.. autant utiliser une seule fois $header=...
while($row = mysql_fetch_row($result)){
$LeTitre=$row[1];
break;
}
ça c'est du code expert... autant faire un if...
<table width="100%" align="center" cellpadding="0" cellspacing="0" border=0>
code html non conforme aux normes xhtml, et relativement crade...
aucune vérification d'échec de requettes...
bref, ça vaut pas code expert, mais débutant coté façon de coder...
t'as du bouleau derière, pour arriver à faire ça, t'as du bosser pas mal, mais t'as encore du chemin... je ne notes pas tout de suite, sinon, ça abaisserait beaucoup ton 10, je vais attendre que tu corriges tout ça
8 juil. 2006 à 12:41
J'ai passé pas mal de temps dessus et ca me fait chaud au coeur qu'il y ai des gens qui l'apprecie :)
7 juil. 2006 à 07:47
Merci de commenter les mauvaises notes (et les bonnes aussi, tant qu'à faire) : un commentaire fait plus avancer un auteur de code qu'une simple note.
5 juil. 2006 à 22:31
Je trouve ce blog tout simplement SUPERBE ! J'adore le système de templates qui permet de configurer le skin a volonté (comme dans les phpBB). En plus, il est compatible IE et Mozilla ! Pour remonter ta note, je te met un beau 10, tu le mérite amplement.