le 30/12/2003 à 00:01
securisation formulaire
c'est a dire qu'avec un str_replace, ca pourrait suffire non? si je remplace les caracteres non désirables par rien ...
lepacha
-
Nombre de sujets12
-
Nombre de messages25
-
Nombre de commentairesAucun
-
Nombre de newsAucune
-
Niveau en PHPDébutant
Ses derniers messages sur les forums
le 29/12/2003 à 23:27
securisation formulaire
je ne sais pas si c'est le htmlentites qu'il faut mettre. en fait, je veux eviter que des mecs mal intentionnés rajoute des lignes de codes dans mon formulaire pour evenutellement acceder à d'autres partie de mon site...
est ce qu'il faut pas interdire l'utilisation de certains caractères ? je ne sait pas comment proceder...
est ce qu'il faut pas interdire l'utilisation de certains caractères ? je ne sait pas comment proceder...
le 27/12/2003 à 08:10
securisation formulaire
salut,
j'ai mis un formulaire sur mon site permettant au viiteurs de me laisser un message (qui est envoyé par mail a mon adresse mail). j'aimerai le securiser pour eviter l'injection de code indésirable mais je ne sais comment faire... pourriez vous le donner un coup de main ?
merci d'avance et bonnes fetes
+ lepacha
j'ai mis un formulaire sur mon site permettant au viiteurs de me laisser un message (qui est envoyé par mail a mon adresse mail). j'aimerai le securiser pour eviter l'injection de code indésirable mais je ne sais comment faire... pourriez vous le donner un coup de main ?
merci d'avance et bonnes fetes
+ lepacha
le 15/12/2003 à 22:12
faille include
et si je fais ca a la place :
<?php
$id=$_GET["id"] ;
include "article".$id.".php" ;
?>
la c bon ou pas? existe t'il toujours des risques ?
<?php
$id=$_GET["id"] ;
include "article".$id.".php" ;
?>
la c bon ou pas? existe t'il toujours des risques ?
le 15/12/2003 à 17:01
faille include
salut,
j'ai vu sur le net qu'il fallait se protéger de la faille include en utilisant la fonction if.
J'ai vu ca ici :
http://www.espionet.com/articles/failleinclude.php
ils conseillent de faire ca :
<?PHP
if ($var == "") { include("sommaire.php"); }
else {$var = $var.".php";
{if (file_exists($var)) { include($var); }
else {include ("404.php"); }
}
}
?>
je voulais savoir comment bien protéger mon code sachant que je dois recupérer l'id et afficher le contenu de ma bdd correspondant à l'id ?
Page qui émet le lien :
<a href=\"voir_article?id=".$tableau["id"]."\" >Lire l'article.</a>
Page qui traite la variable id et qui affiche en conséquence (je met le code ici et pas dans le wall car il est tres court):
<?php
$id=$_GET["id"] ;
//inclusion des code d'acces base de données
include "admin/acces.php";
//connexion
$connexion = mysql_connect($sql_host,$sql_user,$sql_pwd) or die("Connexion Serveur Impossible");
mysql_select_db($sql_base,$connexion);
// requête
$requete = "SELECT * FROM articles WHERE id=$id ";
$envoi = mysql_query($requete);
$tableau = mysql_fetch_array($envoi)
echo "Affichage de l'article : ".$tableau["contenu"]."";
?>
comment puis appliquer l'astuce précédente pour se premunir de la faille include dans mon cas?
merci d'avance
++
j'ai vu sur le net qu'il fallait se protéger de la faille include en utilisant la fonction if.
J'ai vu ca ici :
http://www.espionet.com/articles/failleinclude.php
ils conseillent de faire ca :
<?PHP
if ($var == "") { include("sommaire.php"); }
else {$var = $var.".php";
{if (file_exists($var)) { include($var); }
else {include ("404.php"); }
}
}
?>
je voulais savoir comment bien protéger mon code sachant que je dois recupérer l'id et afficher le contenu de ma bdd correspondant à l'id ?
Page qui émet le lien :
<a href=\"voir_article?id=".$tableau["id"]."\" >Lire l'article.</a>
Page qui traite la variable id et qui affiche en conséquence (je met le code ici et pas dans le wall car il est tres court):
<?php
$id=$_GET["id"] ;
//inclusion des code d'acces base de données
include "admin/acces.php";
//connexion
$connexion = mysql_connect($sql_host,$sql_user,$sql_pwd) or die("Connexion Serveur Impossible");
mysql_select_db($sql_base,$connexion);
// requête
$requete = "SELECT * FROM articles WHERE id=$id ";
$envoi = mysql_query($requete);
$tableau = mysql_fetch_array($envoi)
echo "Affichage de l'article : ".$tableau["contenu"]."";
?>
comment puis appliquer l'astuce précédente pour se premunir de la faille include dans mon cas?
merci d'avance
++
le 10/12/2003 à 22:57
Limiter un texte à un certains nombre de mots
salut,
j'aimerai afficher le debut de ma news dans une partie de mon site.
je souhaiterai simplement afficher par exemple les 50 premiers mots de mon champ "news" de ma bdd puis mettre 3 petits points a la fin.
je pensais faire ca avec la fonction substr en faisant un truc dans le genre :
$news_debut = substr($news,0,50);
echo $news_debut."...";
mais la je vais afficher les 50 premiers caractères suivis de 3 points. ca risque d'etre un peu bizarre si mes "..." viennent se mettre au milieu d'un mot.
existe t'il une focntion similaire mais pour les mots entiers? ou sinon, voyez vous comment je peux proceder ?
merci d'avance et bon coding... aie aie aie ma tete... ca chauffe !
lepacha
++
j'aimerai afficher le debut de ma news dans une partie de mon site.
je souhaiterai simplement afficher par exemple les 50 premiers mots de mon champ "news" de ma bdd puis mettre 3 petits points a la fin.
je pensais faire ca avec la fonction substr en faisant un truc dans le genre :
$news_debut = substr($news,0,50);
echo $news_debut."...";
mais la je vais afficher les 50 premiers caractères suivis de 3 points. ca risque d'etre un peu bizarre si mes "..." viennent se mettre au milieu d'un mot.
existe t'il une focntion similaire mais pour les mots entiers? ou sinon, voyez vous comment je peux proceder ?
merci d'avance et bon coding... aie aie aie ma tete... ca chauffe !
lepacha
++
le 09/12/2003 à 11:11
Probleme de codage d'un gestionnaire des membres
desolé jai mal mis mes liens, si un admin ou un modo peut les rendre actifs... merci d'avance
le 09/12/2003 à 11:10
Probleme de codage d'un gestionnaire des membres
salut, je suis en train de coder une partie gestion des membres dans ma partie administration. je tiens a preciser que je debute en php donc il se peut que des abérations apparaissent dans mon code (en plus j'ai pas fini) ... bref...
Pour acceder a ma partie admin, je passe par un formulaire d'identification, jusque la tout va bien.
voici ma page de gestion des membres admembres.php :
http://www.lephpfacile.com/wall/lire_wall.php?wall=1013
pour plus de precisions, voici le code de la page checkpage.php (je l'ecri la car il est court) :
<?php
session_start();
if(empty($_SESSION['login'])) {
header("Location: ../error.php");
die();
}
?>
et voici la page de traitement de mon formulaire de gestion des membres trait_ajout_membres.php :
http://www.lephpfacile.com/wall/lire_wall.php?wall=1014
autre précision , la page ap13oz46.php contient mes identifiants.
MON PROBLEME :
Quand je teste mon code pour rentrer un nouveau membre , cela me renvoie vers ma page d'erreur de connexion error.php. cela est du , je pense , au fait que j'ai recupéré ma variable login du formulaire et que ma session n'est donc plus valide. a mon avis c'est une histoire de variable mais je ne vois pas comment resoudre le probleme... à moins que ce soit autre chose...
SOLUTION :
ben je sais pas, peut etre que vous, pro du php , pourrez m'apporter conseils...
merci d'avance
lepacha
Pour acceder a ma partie admin, je passe par un formulaire d'identification, jusque la tout va bien.
voici ma page de gestion des membres admembres.php :
http://www.lephpfacile.com/wall/lire_wall.php?wall=1013
pour plus de precisions, voici le code de la page checkpage.php (je l'ecri la car il est court) :
<?php
session_start();
if(empty($_SESSION['login'])) {
header("Location: ../error.php");
die();
}
?>
et voici la page de traitement de mon formulaire de gestion des membres trait_ajout_membres.php :
http://www.lephpfacile.com/wall/lire_wall.php?wall=1014
autre précision , la page ap13oz46.php contient mes identifiants.
MON PROBLEME :
Quand je teste mon code pour rentrer un nouveau membre , cela me renvoie vers ma page d'erreur de connexion error.php. cela est du , je pense , au fait que j'ai recupéré ma variable login du formulaire et que ma session n'est donc plus valide. a mon avis c'est une histoire de variable mais je ne vois pas comment resoudre le probleme... à moins que ce soit autre chose...
SOLUTION :
ben je sais pas, peut etre que vous, pro du php , pourrez m'apporter conseils...
merci d'avance
lepacha
le 21/10/2003 à 16:17
fonction empty pour vérifier les champs d'un mail
ca marche merci, c vraiment chiant de se prendre la tete pour de simple parentheses.. thx again ;o)
le 21/10/2003 à 14:59
fonction empty pour vérifier les champs d'un mail
salut, j'essaie de faire un formulaire avec envoi des données par mail à mon adresse email. Je voudrais vérifier que les champs sont bien tous remplis alors je me suis dit qu'avec la fonction empty() ca devrait aller mais mon souci c'est que mon script me dit toujours que mes champs sont vide.
voici mon script :
je suppose encore que j'ai oublié des guillemets ou un ; mais bon.... merci du coup de main....
LePacha
voici mon script :
<?php
$nom=$_GET["nom"];
$email=$_GET["email"];
$sujet=$_GET["sujet"];
$message=$_GET["message"];
$courrier = "Message envoyé par : ".$nom." ( ".$email. " ) \n \n".$message;
if (empty($nom) || empty($email) || empty($message))
{
echo "<span class=\"classik\">Merci de remplir tous les champs.<br></span>";
echo "<a href=\"message.php\"><span class=\"classik\">Retour</span></a>";
}
else
{
mail("webmaster@neutrinium238.com",$sujet,$courrier,"From :".$mail);
echo "Votre message a bien été envoyé, nous vous répondrons dans les plus brefs délais";
}
?>
je suppose encore que j'ai oublié des guillemets ou un ; mais bon.... merci du coup de main....
LePacha
