GESTIONNAIRE DE NEWS BASIQUE AVEC UPLOAD D'IMAGES

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 - 5 avril 2011 à 09:58
brabri Messages postés 1 Date d'inscription lundi 17 mars 2008 Statut Membre Dernière intervention 25 janvier 2012 - 25 janv. 2012 à 14:36

Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/53032-gestionnaire-de-news-basique-avec-upload-d-images

brabri Messages postés 1 Date d'inscription lundi 17 mars 2008 Statut Membre Dernière intervention 25 janvier 2012
25 janv. 2012 à 14:36

Slt,
Je crois que j'ai trouvé une faille xss dans le "titre" ?
Merci bien en tout cas.

>
...
<?php echo htmlspecialchars($_POST['titre']); ?>
...
non ? Qu'en pensez-vous ? est-ce suffisant ?

jadu Messages postés 217 Date d'inscription mercredi 26 juillet 2006 Statut Membre Dernière intervention 16 août 2018
11 avril 2011 à 09:36

Bon, vous pourrez prévenir lorsqu'elle sera terminée, cette "petite astuce " ???

merci les gars !

MDR !

cod57 Messages postés 1653 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 19
5 avril 2011 à 11:34

je vais regarder ça

je vais blinder la fonction plus tard
avec d'autres astuces dont le mine
faudra juste ajouter des else if ou un switch
mais là elle déjà basiquement sécurisante
j'ai fait au plus vite

merci pour les conseils

a++

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 4
5 avril 2011 à 11:26

Hehe ;)

Par contre tu teste pas le type mime, et niveau gestion d'erreur on peux pas savoir ou la fonction a retourne false.

Tu devrais jeter une exception :
throw new Exception(__FUNCTION__.'::FileNameFault'); et hrow new Exception(__FUNCTION__.'::FileExtentionFault'); par exemple

cod57 Messages postés 1653 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 19
5 avril 2011 à 11:15

oui

j'ai fait une mise à jour pour l'upload
avec une fonction qui te rappelera quelque chose
je vais la poster de suite ...
le reste suivra dans les jours à venir

a++

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 4
5 avril 2011 à 10:51

C'est le gros soucis avec PhP : avoir un code bien separe, perso etant alergique aux moteurs de templates que je trouve trop lourds et qui te demandent d'apprendre leur syntaxe j'ai opte pour un MVC base sur la techno AJAX ou ma view est ma page html mon modele est le code metier PhP et mon controleur est entierement en Javascript.

cod57 Messages postés 1653 Date d'inscription dimanche 7 septembre 2008 Statut Membre Dernière intervention 11 septembre 2013 19
5 avril 2011 à 10:32

bonjour

Tu as completement raison c'est pas securisé du tout et pas beau, mais bon, comme je l'ai dit c'est un bout de code qui vient du forum je vais ameliorer ça quand j'aurai 5 minutes
c'est un canevas ...

1/ je vais ajouter une table membres avec statut admin
2/ securise upload (en premier)
3/ peut etre une miniaturisation
4/ un editeur javascript à la place du textarea
5/ un install.php
6/ MVC oui aussi je vais separer
...

a++

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 4
5 avril 2011 à 10:09

Par contre tu devrai vraiment regarder du cote des moteurs de templates parce que c'est vraiment trop melange ou du cote javascript pour coder sur un MVC.

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 4
5 avril 2011 à 10:05

Mdr je suis hors sujet j'ai meme pas regarde qui avait poste :P

Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 4
5 avril 2011 à 09:58

Oula je ne saurais trop te conseiller de jeter un oeil a ca, ton upload est pas du tout securise c'est vraiment pas exploitable...

http://www.phpcs.com/codes/UPLOADEUR-FICHIERS-MULTIPLES-V1_52956.aspx

Discussions similaires

gestion rendez vous+application open source

Gestion adhérent salle de sport

application gestion de client pour l auto école

gestion de rendez vous

programme de gestion des réservations d'un hôtel

Votre réponse

Discussions similaires