Un forum risque quoi comme piratage ?

lasngc -  
 kalamit -
Je viens de créer un forum et je voulais savoir comment protéger mon forum.

Je m'explique: hier des mecs avaient mis du javascript dans le forum et le code s'était éxécuté. Maintenant j'ai empèché tout script de s'éxécuter.

Je voulais savoir si il y a des petits trucs comme ça, autres que ce que j'ai dit à empècher car moi pour les script javascript et php j'avais pas pensé à ça et pourtant...c'est bête à empècher mais il fallait encore penser que cela était possible.

Merci à ceux qui ont crés des forums ou aux autres pour m'expliquer les bugs possibles.

5 réponses

  1. kalamit
     
    Voui, c'est un truc super connu... Tu en vois ici, qui tente leur petit js "pour tester" avant de passer à l'attaque... Mais ici, point de code interpreté, un bon "htmlentities()" suffit à les calmer.
    Après tu peux améliorer en rendant "lien", toute chaine commencant par http:// (comme ici, quoi).
    Mais au niveau securité, je vois pas trop ce que tu peux faire de plus...

    Kalamit,
    Je ponce donc j'essuie
    0
    1. judi.p@club-internet.fr
       
      moi j'ai interdit l'écriture de <script <? <%php les vides....
      c'est une autre méthode mais ca marche bien
      0
      1. kalamit > judi.p@club-internet.fr
         
        J'peux faire uin petit essai sur ton forum ? C'est quoi l'adresse ? C'est pas mechant, il faudra juste que tu vires le message que j'ai mis ds la base, si ca fait planté ton forum.

        Kalamit,
        Je ponce donc j'essuie
        0
      2. kalamit > judi.p@club-internet.fr
         
        J'ai trouvé l'adresse. Je fais un test.

        Kalamit,
        Je ponce donc j'essuie
        0
      3. kalamit > judi.p@club-internet.fr
         
        Ayé, j't'ai fait planté ton forum ! J'suis désolé...
        Pas grave, supprime juste mon message et tout devrait rentré dans l'ordre...
        Bon, inclus la commande htmlentities() avant de faire l'INSERT dans ta base.
        Ex:
        $titre = htmlentities($titre);
        $message = htmlentities($message);

        Encore, une fois, desolé, d'avoir fait tout planté, mais c'etait pour la bonne cause... :o)

        Kalamit,
        Je ponce donc j'essuie
        0
  2. teebo Messages postés 33585 Date d'inscription   Statut Contributeur Dernière intervention   1 797
     
    Tu peux virer aussi tout HTML, c'est plus sur, de maniere generale, le plus simple pour garder le controle c'est de tout interdire et de reecrire juste quelque trucs utiles par la suite (lien, image?, gras, ital...) comme ca, tu sais tout ce qui est possible sur ton firum...
    ö,ö  "Il est plus facile de donner des conseils
    \_/    que de les appliquer"
    0
  3. kalamit
     
    Voui, Teebo a raison, si c'est du php, tu passes tout par la fonction htmlentities et ainsi donc, pas de script ou de html autorisé dans le forum.

    Kalamit,
    Je ponce donc j'essuie
    0
  4. lasngc
     
    ok j'ai fait ce que tu m'as dit. C'est cool votre aide les gars car c'est encore un truc auqelle je n'avais pas penser.

    Merci Kalimit pour ton aide
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lasngc
     
    y a d'autres trucs pour encore mieux se protéger ?

    en même temps tu serais comment faire pour que http://www.ngcworld.com soit toujours apparent ? je suis sur Multimania en gratuit
    0
    1. kalamit
       
      Bah, si tu as fait le htmlentities, y'a deja plus grand chose qui passe !!! Après ca devient vraiment du hacking, et la c'est ton hebergeur qui trinque !
      Pour ce qui est de ton nom de domaine, je t'ai répondu dans ton autre post...

      Kalamit,
      Je ponce donc j'essuie
      0