Caracteres spéciaux
Salut tt le monde !!
Ca fé un bail ke j'ai po trop touché au code...
Et j'ai un gugus ki s'amuze a pourrir mes forums !!! :/ il met du javascript ds le titre pr insérer un nouveau sujet.
Et je voudrais donc que l'on ne puisse plus insérer de script dans le titre... il fo annulé des caracteres dans le champs c ca ? mé je c po comment faire, et j'arrive po a trouver sur le site ^^ désolé, mici
@+ les gens
Si t'es fier d'être un Nazebroke, tape dans tes mains !!
le 10/04/2005 à 14:42
Bzh
Salut !!!
Utilises la fonction
htmlentities()
Et fais gaff, il est très dangereux de permettre l' insertion de javascript !!!! Il suffit de récupérer les cookies de tes utilisateurs pour se logger à leurs places et même pire, si tu as une partie admin et que tu es logger, suffit de récupérer ton cookie (en javascript) pour se logger à ta place entant qu' admin....
Je te fais pas de dessins, je penses que tu as compris...
Ciao...
Oué dakord, j'ai compris merci du renseignement... j'espère que ta pa foutu la merde ds mon site kan même !! car ca me plairait pas trop !!!
Merci d'me donner un exemple sur mon site ^^ mé g flippé o début kan meme...
Si t'es fier d'être un Nazebroke, tape dans tes mains !!
le 11/04/2005 à 20:51
Bzh
Non...
Mais cela peut s' avérer très dangereux !!!
Il ne faut pas oublier les attaques CSS (ou XSS) par script coter client !!!
Ciao...
tu entend koi par attaque CSS?
le 11/04/2005 à 22:11
Bzh
Insérer un code javascript dans un forum (par exemple) qui fera une redirection vers ta page( que tu as créé) avec comme paramètre les cookies du visiteurs !!!
il peut y avoir:
=>le cookie de la session en cour
=>le cookie de l'auto-connexion (comme sur ce site) s' il y a
etc...
Il suffit d' émuler le cookie, de se connecter au site de la victime, et tu es automatiquement reconnu comme la personne dont tu viens de prendre les cookies...
Simple et peut être dangereux si ce sont les cookies de l' admin...
Mais attention, même avec htmlentities() et un BB-code, il est tout à fait possible d' y arriver.. ce protêger n' est pas tjrs simple...
Lors d' ajout de lien, bien vérifier que :
(lien)http://le-lien(/lien) et non (lien)le-lien(/lien)
les parentèses pour que se ne soit pas traduit par le BB-code de ce site...
pour éviter (lien)javascript:window.location etc...(/lien)...
Enfin, il n' est pas simple de bien se protèger...
Bye...
ou la ca fait peur ...
le 13/04/2005 à 19:07
Bzh
Non, il faut vraiment interdire le javascript !!!
Si on respect bien ça, y a pas de souci...
Bye...
Ecrire un message
Votre message vient d'être créé avec succès.
BB-Code
Pour insérer une URL clickable
Pour insérer une adresse E-mail
Pour annoter
Pour écrire du code
Pour faire un lien vers une fonction PHP
Pour écrire du texte préformaté
Pour écrire du texte en gras
Pour écrire du texte en italique
Pour écrire du texte souligné
Pour écrire du texte barré
Pour écrire un titre principal
Pour écrire un titre secondaire
Pour écrire une liste
Smiley
:bond:
:boxe:
:bsmile:
:bump:
:clap:
:coeur:
:cool:
:cry:
:eek:
:evil:
:fleur:
:fou2:
:fou:
:grin:
:grrr:
:hammer:
:hippy:
:hum:
:idee2:
:idee:
:kdo:
:king:
:ko:
:lol:
:love2:
:love:
:mad:
:maitre:
:noel:
:oops:
:raa:
:razz:
:roll:
:sad:
:skull:
:smile:
:timide:
:trink:
:vice:
:vomi:
:wink:
:zzz:
