FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 2015
-
28 août 2006 à 20:04
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015
-
31 août 2006 à 11:53
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 31 août 2006 à 11:53
"La deuxième, c'est la master's option: quand elle est activée seul la personne ayant posté un message peut voir son message (grace aux cookies)."
Plus de cookie... plus de messages... .. . :oD
"C'est donc une faille qui peut s'avérer génante si un de vos malicieux visiteurs la découvrait."
strip_tags()... .. ?
tchaOo°
kurt67
Messages postés48Date d'inscriptionvendredi 30 avril 2004StatutMembreDernière intervention 4 avril 2007 28 août 2006 à 23:46
Oups désolé je viens de voir une petite faille: aux lignes 112 et 116 se trouve ceci:
htmlentities(utf8_decode($row["email"]), ENT_NOQUOTES)."">".
et il faut le remplacer par
htmlentities(utf8_decode($row["email"]), ENT_COMPAT)."">".
Autrement il est possible de faire quelque chose du genre [mailto: blabla] (en ayant pour adresse de messagerie " je met ce que je veux), ce qui rend la page invalide xhtml. Il est également possible d'ajouter des attributs et des évennements comme un onclick qui ouvrirait une pop-up ou fermerait la page... C'est donc une faille qui peut s'avérer génante si un de vos malicieux visiteurs la découvrait.
Comme ce ne sont que deux lignes je ne vais pas faire une update mais si une autre faille est repérée alors je ferais une update (ou si quelqu'un a une idée pour une option en plus).
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 28 août 2006 à 20:04
"La deuxième, c'est la master's option: quand elle est activée seul la personne ayant posté un message peut voir son message (grace aux cookies)."
Moi j'ai peur :o
31 août 2006 à 11:53
Plus de cookie... plus de messages... .. . :oD
"C'est donc une faille qui peut s'avérer génante si un de vos malicieux visiteurs la découvrait."
strip_tags()... .. ?
tchaOo°
28 août 2006 à 23:46
htmlentities(utf8_decode($row["email"]), ENT_NOQUOTES)."">".
et il faut le remplacer par
htmlentities(utf8_decode($row["email"]), ENT_COMPAT)."">".
Autrement il est possible de faire quelque chose du genre [mailto: blabla] (en ayant pour adresse de messagerie " je met ce que je veux), ce qui rend la page invalide xhtml. Il est également possible d'ajouter des attributs et des évennements comme un onclick qui ouvrirait une pop-up ou fermerait la page... C'est donc une faille qui peut s'avérer génante si un de vos malicieux visiteurs la découvrait.
Comme ce ne sont que deux lignes je ne vais pas faire une update mais si une autre faille est repérée alors je ferais une update (ou si quelqu'un a une idée pour une option en plus).
28 août 2006 à 20:04
Moi j'ai peur :o