Htmlspécialchar
Fermé
webmaster
-
15 mai 2011 à 19:22
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 - 16 mai 2011 à 16:32
avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 - 16 mai 2011 à 16:32
2 réponses
Atropa
Messages postés
1940
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
11 mai 2014
274
15 mai 2011 à 21:57
15 mai 2011 à 21:57
bonsoir,
le plus simple et le plus efficace est de mettre tout au début du script le code suivant :
le plus simple et le plus efficace est de mettre tout au début du script le code suivant :
function secure($item) {
if(is_array($item)) {
foreach($item as $key => $value) {
if(is_array($value)) $item[$key] = secure($value);
else if(is_string($value)) $item[$key] = htmlentities($value);
else $item[$key] = $value;
}
return $item;
}
elseif(is_string($item)) return htmlentities($item);
else return $item;
}
if(isset($_POST)) $_POST = secure($_POST);
if(isset($_GET )) $_GET = secure($_GET);
if(isset($_COOKIE )) $_COOKIE = secure($_COOKIE);
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 500
15 mai 2011 à 22:14
15 mai 2011 à 22:14
Salut,
Que veux-tu dire par « hacké » ?
La faille XSS que tu tentes de contrer avec htmlspecialchars() ne permet que l'insertion de code HTML/CSS et JS qui sont inoffensifs (quoique avec du JS, le hackeur peut te faire faire des actions avec les privilèges que tu possèdes sur le site, mais pas plus : pas de contrôle du FTP, accès MySQL, etc).
Que veux-tu dire par « hacké » ?
La faille XSS que tu tentes de contrer avec htmlspecialchars() ne permet que l'insertion de code HTML/CSS et JS qui sont inoffensifs (quoique avec du JS, le hackeur peut te faire faire des actions avec les privilèges que tu possèdes sur le site, mais pas plus : pas de contrôle du FTP, accès MySQL, etc).
Good bye
Messages postés
105
Date d'inscription
dimanche 15 mai 2011
Statut
Membre
Dernière intervention
30 octobre 2016
1
15 mai 2011 à 22:20
15 mai 2011 à 22:20
salut,
(c'est webmaster je me suis inscrit) En fait il avait écrit : utilise htmlspécialchar je t'ai hacké!
Ou quelque chose du genre!
Bonne soirée!
(c'est webmaster je me suis inscrit) En fait il avait écrit : utilise htmlspécialchar je t'ai hacké!
Ou quelque chose du genre!
Bonne soirée!
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 500
15 mai 2011 à 22:55
15 mai 2011 à 22:55
Comment était-ce écrit ?
Via une alert Javascript ?
Via une alert Javascript ?
Good bye
Messages postés
105
Date d'inscription
dimanche 15 mai 2011
Statut
Membre
Dernière intervention
30 octobre 2016
1
16 mai 2011 à 14:32
16 mai 2011 à 14:32
oui! en javascript
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 500
16 mai 2011 à 15:24
16 mai 2011 à 15:24
Alors il n'a pas vraiment « hacké » ton site, mais il a exploiter une faille qui pourrait faire plus (par exemple, rediriger tout tes visiteurs vers une page dangereuse, utiliser la faille CRSF, etc).
Il vaut mieux s'en protéger pour le bien de tes utilisateurs, pas réellement pour la protection même de ton site.
Il vaut mieux s'en protéger pour le bien de tes utilisateurs, pas réellement pour la protection même de ton site.
Good bye
Messages postés
105
Date d'inscription
dimanche 15 mai 2011
Statut
Membre
Dernière intervention
30 octobre 2016
1
16 mai 2011 à 16:10
16 mai 2011 à 16:10
Oui mais c'est tout de même embettant !
Sa va il a été gentil il me l'a signalé (enfin gentils entre guillemet , mais cela m'apporteras une expérience )
Sa va il a été gentil il me l'a signalé (enfin gentils entre guillemet , mais cela m'apporteras une expérience )
15 mai 2011 à 22:21