[PHP] Faille de sécurité XSS

coccoweb Messages postés 141 Date d'inscription Statut Membre Dernière intervention -
coccoweb Messages postés 141 Date d'inscription Statut Membre Dernière intervention - 30 nov. 2010 à 12:08

Bonjour,

j'ai découvert sur l'un de mes sites une faille de sécurité

Ma petite fonction

 // Retourne le PHP formaté et coloré 
 function php_code($code){ 
 // Ici on supprime le retour a la ligne 
 // Ceux-ci sont déjà remplacé par des <br />  
 $code = preg_replace("/\n/", "", $code); 

 // On decode les caracteres spéciaux sans quoi le highlight ne fonctionnerai pas 
 $code=html_entity_decode($code[1], true); 
 $code=htmlspecialchars_decode($code); 
 return '<br /><span class="strong">Script PHP :</span><div class="scroll">'.highlight_string($code, true).'</div><br />'; 
 }

Imaginons que le client (membre, utilisateur) envois en BBcode ceci

// BBCODE 
[code=php] 
<?php 
$var = 'test de la colorisation'; 
// Envois d'une requete simple XSS 
<SCRIPT>alert('Zut alors...')</SCRIPT> 
[/code]

Et la paff la boite de dialogue qui me dit Zut alors...

Quelqu'un a une idée pour sécuriser ?

Merci

Afficher la suite

A voir également:

[PHP] Faille de sécurité XSS
Question de sécurité - Guide
Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
Mode securite - Guide
Clé de sécurité windows 10 gratuit - Guide
Easy php - Télécharger - Divers Web & Internet

1 réponse

Réponse 1 / 1

mrcrowley Messages postés 57 Date d'inscription Statut Membre Dernière intervention 8

Tu as trouvé la solution toi même !
Tu as une failles qui permet d'inserer du javascript.
Pour remédier à ce problème, la fonction htmlspecialchars(); peut t'aider ;)

coccoweb Messages postés 141 Date d'inscription Statut Membre Dernière intervention 27

[PHP] Faille de sécurité XSS

1 réponse

Votre réponse

Discussions similaires