Un forum risque quoi comme piratage ?
lasngc
-
kalamit -
kalamit -
Je viens de créer un forum et je voulais savoir comment protéger mon forum.
Je m'explique: hier des mecs avaient mis du javascript dans le forum et le code s'était éxécuté. Maintenant j'ai empèché tout script de s'éxécuter.
Je voulais savoir si il y a des petits trucs comme ça, autres que ce que j'ai dit à empècher car moi pour les script javascript et php j'avais pas pensé à ça et pourtant...c'est bête à empècher mais il fallait encore penser que cela était possible.
Merci à ceux qui ont crés des forums ou aux autres pour m'expliquer les bugs possibles.
Je m'explique: hier des mecs avaient mis du javascript dans le forum et le code s'était éxécuté. Maintenant j'ai empèché tout script de s'éxécuter.
Je voulais savoir si il y a des petits trucs comme ça, autres que ce que j'ai dit à empècher car moi pour les script javascript et php j'avais pas pensé à ça et pourtant...c'est bête à empècher mais il fallait encore penser que cela était possible.
Merci à ceux qui ont crés des forums ou aux autres pour m'expliquer les bugs possibles.
5 réponses
-
Voui, c'est un truc super connu... Tu en vois ici, qui tente leur petit js "pour tester" avant de passer à l'attaque... Mais ici, point de code interpreté, un bon "htmlentities()" suffit à les calmer.
Après tu peux améliorer en rendant "lien", toute chaine commencant par http:// (comme ici, quoi).
Mais au niveau securité, je vois pas trop ce que tu peux faire de plus...
Kalamit,
Je ponce donc j'essuie-
moi j'ai interdit l'écriture de <script <? <%php les vides....
c'est une autre méthode mais ca marche bien- Ayé, j't'ai fait planté ton forum ! J'suis désolé...
Pas grave, supprime juste mon message et tout devrait rentré dans l'ordre...
Bon, inclus la commande htmlentities() avant de faire l'INSERT dans ta base.
Ex:
$titre = htmlentities($titre);
$message = htmlentities($message);
Encore, une fois, desolé, d'avoir fait tout planté, mais c'etait pour la bonne cause... :o)
Kalamit,
Je ponce donc j'essuie - Et pis j'avais pas lu le message dans lequel j'ai posté...
Mouarf ! :o)
http://membres.lycos.fr/lasngc/forumgcw.php?idtexte=121&nbre=1
Kalamit,
Je ponce donc j'essuie
-
-
Tu peux virer aussi tout HTML, c'est plus sur, de maniere generale, le plus simple pour garder le controle c'est de tout interdire et de reecrire juste quelque trucs utiles par la suite (lien, image?, gras, ital...) comme ca, tu sais tout ce qui est possible sur ton firum...
ö,ö "Il est plus facile de donner des conseils
\_/ que de les appliquer" -
Voui, Teebo a raison, si c'est du php, tu passes tout par la fonction htmlentities et ainsi donc, pas de script ou de html autorisé dans le forum.
Kalamit,
Je ponce donc j'essuie -
ok j'ai fait ce que tu m'as dit. C'est cool votre aide les gars car c'est encore un truc auqelle je n'avais pas penser.
Merci Kalimit pour ton aide -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
y a d'autres trucs pour encore mieux se protéger ?
en même temps tu serais comment faire pour que http://www.ngcworld.com soit toujours apparent ? je suis sur Multimania en gratuit