Si t'es fier d'être un Nazebroke, tape dans tes mains !!
Salut tt le monde !!
Ca fé un bail ke j'ai po trop touché au code...
Et j'ai un gugus ki s'amuze a pourrir mes forums !!! :/ il met du javascript ds le titre pr insérer un nouveau sujet.
Et je voudrais donc que l'on ne puisse plus insérer de script dans le titre... il fo annulé des caracteres dans le champs c ca ? mé je c po comment faire, et j'arrive po a trouver sur le site ^^ désolé, mici
Et fais gaff, il est très dangereux de permettre l' insertion de javascript !!!! Il suffit de récupérer les cookies de tes utilisateurs pour se logger à leurs places et même pire, si tu as une partie admin et que tu es logger, suffit de récupérer ton cookie (en javascript) pour se logger à ta place entant qu' admin....
Je te fais pas de dessins, je penses que tu as compris...
Insérer un code javascript dans un forum (par exemple) qui fera une redirection vers ta page( que tu as créé) avec comme paramètre les cookies du visiteurs !!!
il peut y avoir:
=>le cookie de la session en cour
=>le cookie de l'auto-connexion (comme sur ce site) s' il y a
etc...
Il suffit d' émuler le cookie, de se connecter au site de la victime, et tu es automatiquement reconnu comme la personne dont tu viens de prendre les cookies...
Simple et peut être dangereux si ce sont les cookies de l' admin...
Mais attention, même avec htmlentities() et un BB-code, il est tout à fait possible d' y arriver.. ce protêger n' est pas tjrs simple...
Lors d' ajout de lien, bien vérifier que :
(lien)http://le-lien(/lien) et non (lien)le-lien(/lien)
les parentèses pour que se ne soit pas traduit par le BB-code de ce site...
pour éviter (lien)javascript:window.location etc...(/lien)...
Enfin, il n' est pas simple de bien se protèger...
Remonter 
