Sécurité formulaire HTML/PHP Résolu/Fermé

Question

Bonjour, J'utilise Webacappella, un logiciel de création site web - Il permet tout de même de faire du HTML et du PHP. J'ai réussit à insérer un formulaire HTML/PHP qui me permet de récupérer les contacts du formulaire dans une base de données OVH. je reçois un mail qui contient les informations rentrées par l'utilisateur. Tout va bien donc !! Pas tout à fait !! Je pense que j'ai des faiblesses côté sécurité, j'ai mis en place des "pattern" des "strip_tags()" .... mais je n'arrive pas à supprimer de la textarea la possibilité d'insertion de liens . De plus je souhaite récupérer "true" dans mon mail de récéption pour être certaine que la case "capcha" a bien fonctionnée. Bon un bon code vaut mieux que de grands discours: Mon fichier formulaire:

Type de travaux :

Je ne suis pas un Robot !

prepare(' INSERT INTO mabase (Nom,Prénom,Téléphone,Email,Travaux,CodePostal,Message,Departement,Provenance,dateinscription) VALUES (?,?,?,?,?,?,?,?,"xxxxx",Now()) '); $nom = strip_tags($_POST['nom']); $prenom = strip_tags($_POST['prenom']); $email = strip_tags($_POST['mail']); $message = strip_tags($_POST['message']); $query->execute([ $nom, $prenom, $_POST['tel'], $email, $_POST['travaux'], $_POST['codepostal'], $message, $_POST['departement'] ]); //Verifie si le fournisseur prend en charge les r if (preg_match("#@(hotmail|live|msn).[a-z]{2,4}$#", $email_from)) { $passage_ligne = " "; } else { $passage_ligne = " "; } // Pour les champs $expediteur / $copie / $destinataire, // séparez par une virgule s'il y a plusieurs adresses $destinataire = '***@***'; $expediteur = '***@***'; $copie = ''; $copie_cachee = '***@***'; $objet = $_POST["travaux"] . " xxxxxx " . " " . $_POST["departement"]; // Objet du message function clean_string($string) { $bad = array("content-type", "bcc:", "to:", "cc:", "href"); return str_replace($bad, "", $string); } $headers = 'MIME-Version: 1.0' . " "; // Version MIME $headers .= 'Reply-To: ' . $expediteur . " "; // Mail de reponse $headers .= 'From:<' . $expediteur . '>' . " "; // Expediteur $headers .= 'Delivered-to: ' . $destinataire . " "; // Destinataire $headers .= 'Cc: ' . $copie . " "; // Copie Cc $headers .= 'Bcc: ' . $copie_cachee . " "; // Copie cachée Bcc $message = "Nom : " . $nom . " " . " " . "Prénom : " . $prenom . " " . " " . "Téléphone : " . $_POST["tel"] . " " . " " . "Mail : " . $email . " " . " " . "Travaux : " . $_POST["travaux"] . " " . " " . "Département des Travaux : " . $_POST["departement"] . " " . " " . "Code Postal : " . $_POST["codepostal"] . " " . " " . " " . "Message: " . $message . " " . " " . "Case robot :".$_POST["coche"]; $success = false; $error_string = ""; if (mail($destinataire, $objet, $message, $headers)) // Envoi du message { $success = true; } else // { $success = false; $error_string = "Non envoyé !"; } echo json_encode(['success' => $success, 'message' => $error_string]); // on ferme la connexion header('Location: contact-test.php'); exit(); } ?> pas certaine que mon fichier de connexion soit nécessaire. Si jamais merci de me le dire. Recap : comment sécuriser mon textarea ?? comment récupérer ma case cochée oui/non Merci d'avance

jordane45 · Answer

Bonjour, Je pense que tu confonds "lien" et "url" Google <-- Une url ( c'est une string.. ) --> http://www.google.fr Si tu veux pouvoir supprimer les "url" , tu vas devoir retravailler la string 'message' pour y supprimer le http ou https, les www le .truc Pour ça, tu peux utiliser une regex. ( nombreux tutos disponibles sur le net)

PJ47 · Answer

Bonjour @jordane45 , C'est effectivement les URL que je souhaite supprimer ou rendre inactives je regarde depuis tôt ce matin mais je ne trouve pas soit la bonne manière de l'écrire soit pas la bonne regex. Déjà il semble que mon "pattern dans textarea ne soit pas pris en compte : il semble que cette balise n'accepte pas cet attribut. j'ai remplacé par ce ceci mais ça ne fonctionne pas. Que ce que j'écris mal ?? $nom = strip_tags($_POST['nom']); $prenom = strip_tags($_POST['prenom']); $email = strip_tags($_POST['mail']); $message = preg_replace('!$$url=(.+?)$$(.+?)$$/url$$!isU', '$2', strip_tags($_POST['message'])); Merci

jordane45 · Answer

Commence par faire un var_dump de ta variable

strip_tags($_POST['message'])

histoire de voir comment se présente le "text" que tu veux "supprimer".

Et encore une fois... vu qu'on parle d'URL ( et non de "lien") .. il n'y a pas de <a href...   !

PJ47 · Answer

@jordane45, je ne sais pas faire tant pis - je trouverai une autre solution.

merci encore

J

jordane45 · Answer

Tu ne sais pas faire .... quoi ?

un var_dump ?  Si tu ne connais pas, il existe les moteurs de recherche pour t'aider à trouver ...  https://www.google.com/search?q=var_dump

Rien de compliqué .. juste une fonction à appeller pour pouvoir afficher, lors de l'exécution de ton code, le contenu d'une variable

var_dump(strip_tags($_POST['message']));
exit; //si tu veux que ton script s'arrête là sans faire la suite le temps de corriger ton souci

Et niveau regex,  pour supprimer les URL de ta variable, tu devrais pouvoir passer par un truc du genre

$string = strip_tags($_POST['message']);
$regex = "@(https?://([-\w\.]+[-\w])+(:\d+)?(/([\w/_\.#-]*(\?\S+)?[^\.\s])?).*$)@";
$message = preg_replace($regex, ' ', $string);

PJ47 · Answer

je ne sais pas écrire le regex ! le var_dump c'était bon.

je vous remercie de cette solution. ça fonctionne sur mon mode test. Merci.

Sauriez vous comment je peux récupérer ma case "je ne suis pas un robot" dans mon mail?

Merci bonne journée

PJ47 · Answer

c'est ce que je pense avoir essayé de faire : $message = "Nom : " . $nom . " " . " " . "Prénom : " . $prenom . " " . " " . "Téléphone : " . $_POST["tel"] . " " . " " . "Mail : " . $email . " " . " " . "Travaux : " . $_POST["travaux"] . " " . " " . "Département des Travaux : " . $_POST["departement"] . " " . " " . "Code Postal : " . $_POST["codepostal"] . " " . " " . " " . "Message: " . $message . " " . " " . "Case robot :".$_POST["coche"]; mais cela ne donne rien.

Je ne suis pas un Robot !

PJ47 · Answer

Oui il est bien au dessu mais cela me marque mon message "message envoyé mais pas de redirection : prepare(' INSERT INTO mabase (Nom,Prénom,Téléphone,Email,Travaux,CodePostal,Message,Departement,Provenance,dateinscription) VALUES (?,?,?,?,?,?,?,?,"xxxxxx",Now()) '); $nom = strip_tags($_POST['nom']); $prenom = strip_tags($_POST['prenom']); $email = strip_tags($_POST['mail']); //$message = strip_tags($_POST['message']); //$message = str_replace("/", "", $message); $string = strip_tags($_POST['message']); $regex = "@(https?://([-\w\.]+[-\w])+(:\d+)?(/([\w/_\.#-]*(\?\S+)?[^\.\s])?).*$)@"; $message = str_replace("'", "'", $message); $message = str_replace("’", "'", $message); $message = str_replace('
', '', $message); $message = str_replace("<", "<", $message); $message = str_replace(">", ">", $message); $message = str_replace("&", "&", $message); $message = preg_replace($regex, ' ', $string); //var_dump($message); $query->execute([ $nom, $prenom, $_POST['tel'], $email, $_POST['travaux'], $_POST['codepostal'], $message, $_POST['departement'] ]); //Verifie si le fournisseur prend en charge les r if (preg_match("#@(hotmail|live|msn).[a-z]{2,4}$#", $email_from)) { $passage_ligne = " "; } else { $passage_ligne = " "; } // Pour les champs $expediteur / $copie / $destinataire, // séparez par une virgule s'il y a plusieurs adresses $message_envoye = "Votre message nous est bien parvenu ! Retour à la page principale"; $message_non_envoye = "

L'envoi du mail a échoué, veuillez réessayer SVP."; $destinataire = '***@***'; $expediteur = '***@***'; $copie = ''; $copie_cachee = 'xx@xx'; $objet = $_POST["travaux"] . " xx " . " " . $_POST["departement"]; // Objet du message function clean_string($string) { $bad = array("content-type", "bcc:", "to:", "cc:", "href"); return str_replace($bad, "", $string); } $headers = 'MIME-Version: 1.0' . " "; // Version MIME $headers .= 'Reply-To: ' . $expediteur . " "; // Mail de reponse $headers .= 'From:<' . $expediteur . '>' . " "; // Expediteur $headers .= 'Delivered-to: ' . $destinataire . " "; // Destinataire $headers .= 'Cc: ' . $copie . " "; // Copie Cc $headers .= 'Bcc: ' . $copie_cachee . " "; // Copie cachée Bcc $message = "Nom : " . $nom . " " . " " . "Prénom : " . $prenom . " " . " " . "Téléphone : " . $_POST["tel"] . " " . " " . "Mail : " . $email . " " . " " . "Travaux : " . $_POST["travaux"] . " " . " " . "Département des Travaux : " . $_POST["departement"] . " " . " " . "Code Postal : " . $_POST["codepostal"] . " " . " " . " " . "Message: " . $message . " " . " " . "Case robot :" . $_POST["coche"]; $success = false; $error_string = ""; if (mail($destinataire, $objet, $message, $headers)) // Envoi du message { echo ('message envoyé'); header('Location: http://www.google.com'); exit(); } else // { $success = false; $error_string = "Non envoyé !"; } } ?>

Type de travaux :

Je ne suis pas un Robot !

je ne dois surement pas le place où il faut. !

PJ47 · Answer

J'ai supprimé le echo :

if (mail($destinataire, $objet, $message, $headers)) // Envoi du message
      {

header('Location: fin.php');
       exit();

} else //
      {
            $success = false;
            $error_string = "Non envoyé !";
      }

mais lorsque je valide je reste sur la même page mais avec ma zone formulaire vide :

https://www.best-termites.fr/www/contact-test.php

PJ47 · Answer

j'ai activé l'affichage des erreurs et corrigé certaines.

la dernière est

Warning: Cannot modify header information - headers already sent by (output started at /home/besttermds/www/www/contact-test.php:1) in /home/besttermds/www/www/contact-test.php on line 500

PJ47 · Answer

bonjour @ tous.

je suis en prod, mon code de traitement php est en début, mon formulaire html en suivant-

Mon formulaire s'envoie, la page se redirige, les champs s'enregistrent bien dans la bdd, mais dans le message reçu et enregistrer dans la bdd il reste les url et je souhaite les supprimer -

Est ce que vous auriez des idées?

Merci

J

PJ47 · Answer

Bonjour @jordane45 suite à ce code : prepare(' INSERT INTO ContactsBest (Nom,Prénom,Téléphone,Email,Travaux,CodePostal,Message,Departement,Provenance,dateinscription) VALUES (?,?,?,?,?,?,?,?,"Best-termites.fr",Now()) '); $nom = strip_tags($_POST['nom']); $prenom = strip_tags($_POST['prenom']); $email = strip_tags($_POST['mail']); $string = strip_tags($_POST['message']); $regex = "@(^(https?|ftp)://(-\.)?([^\s/?\.#-]+\.?)+(/[^\s]*)?$)@"; $message = preg_replace($regex, ' ', $string); var_dump($nom, $prenom, $email, $message); $query->execute([ $nom, $prenom, $_POST['tel'], $email, $_POST['travaux'], $_POST['codepostal'], $message, $_POST['departement'] ]); //Verifie si le fournisseur prend en charge les r if (preg_match("#@(hotmail|live|msn).[a-z]{2,4}$#", $email)) { $passage_ligne = " "; } else { $passage_ligne = " "; } // Pour les champs $expediteur / $copie / $destinataire, // séparez par une virgule s'il y a plusieurs adresses $destinataire = '***@gmail.com'; $expediteur = '**@best-termites.fr'; $copie = ''; $copie_cachee = '**@**'; $objet = $_POST["travaux"] . " BEST-TERMITES.fr " . " " . $_POST["departement"]; // Objet du message function clean_string($string) { $bad = array("content-type", "bcc:", "to:", "cc:", "href"); return str_replace($bad, "", $string); } $headers = 'MIME-Version: 1.0' . " "; // Version MIME $headers .= 'Reply-To: ' . $expediteur . " "; // Mail de reponse $headers .= 'From:<' . $expediteur . '>' . " "; // Expediteur $headers .= 'Delivered-to: ' . $destinataire . " "; // Destinataire $headers .= 'Cc: ' . $copie . " "; // Copie Cc $headers .= 'Bcc: ' . $copie_cachee . " "; // Copie cachée Bcc $message = "Nom : " . $nom . " " . " " . "Prénom : " . $prenom . " " . " " . "Téléphone : " . $_POST["tel"] . " " . " " . "Mail : " . $email . " " . " " . "Travaux : " . $_POST["travaux"] . " " . " " . "Département des Travaux : " . $_POST["departement"] . " " . " " . "Code Postal : " . $_POST["codepostal"] . " " . " " . " " . "Message: " . $message . " " . " " . "Case robot :" . $_POST["coche"]; $success = false; $error_string = ""; if (mail($destinataire, $objet, $message, $headers)) // Envoi du message { //header('Location: https://www.best-termites.fr/index.html'); // exit(); } else // { $success = false; $error_string = "Non envoyé !"; } } ?> j'obtiens : string(9) "jennif@jh" string(4) "test" string(23) "***@***" string(93) "fhidshfsdfu bonjour, https://www.php.net/manual/fr/function.var-dump.php hfubjhfd fhduis" donc au final, cela signifie qu'aucun de mes "strip_tags" ne fonctionnent pas

PJ47 · Answer

bonjour @jordane45,

Alors voilà deux jours que je regarde des tutos pour comprendre comment fonctionnent les deux sites que vous m'avez donné !!! ça y est j'ai compris !! (vive Boris !).

mes premiers tests ont l'ai convaincants : du coup ça donne ça :

$string = strip_tags($_POST['message']);
      $regex = preg_replace('/(https?:\/\/|www\.)([a-zA-Z0-9-_\.\/\?=&]+)/im', 'url', $string);
      $message = $regex;

donc mon message ne contien plus d'url

je vais voir si je peux améliorer les $nom et $prenom.

Merci encore de votre précieuse aide !

J

PJ47 · Answer

Par contre j'essaye de combiner plusieurs regex (1 pour les url, c'est bon ! et une pour les caractères non latins) .

mais pour le moment ça coince

$string = preg_replace('/([^!A-Za-z0-9]+)im/', '',$_POST['message']);
      $regex = preg_replace('/(https?:\/\/|www\.)([a-zA-Z0-9-_\.\/\?=&]+)/im', 'url', $string);
      $message = $regex;

PJ47 · Answer

Bonjour,

voici :

string(208) "fdsfsdfsfs

https://forums.commentcamarche.net/forum/affich-37954204-securite-formulaire-html-php#p37959643
fdskhk

Ողջույն, ես ուզում էի իմանալ ձեր գինը.
maisn fdhofhsdlf"
string(208) "fdsfsdfsfs

https://forums.commentcamarche.net/forum/affich-37954204-securite-formulaire-html-php#p37959643
fdskhk

Ողջույն, ես ուզում էի իմանալ ձեր գինը.
maisn fdhofhsdlf"
string(126) "fdsfsdfsfs

url#p37959643
fdskhk

Ողջույն, ես ուզում էի իմանալ ձեր գինը.
maisn fdhofhsdlf"

mon URL a bien été remplacée par 'URL' mais les caractères non latin non pas été supprimés  - indépendamment chacun des expression fonctionne. mais pas ensemble

Merci J

PJ47 · Answer

J'ai corrigé mon erreur et inverser les deux :

ring(217) "test testjofdsm 12345

https://forums.commentcamarche.net/forum/affich-37954204-securite-formulaire-html-php
fydsifyis
 Ողջույն, ես ուզում էի իմանալ ձեր գինը.
dfsufyuifd

hufdusy"
string(135) "test testjofdsm 12345

URL#
fydsifyis
 Ողջույն, ես ուզում էի իմանալ ձեր գինը.
dfsufyuifd

hufdusy"
string(78) "testLATINtestjofdsmLATIN12345LATINURLLATINfydsifyisLATINdfsufyuifdLATINhufdusy"

donc effectivement je n'ai plus d'URL ni de caractères non latin mais pourquoi tout mon texte s'est il collé ? m est censé faire le multiligne?

PJ47 · Answer

Merci @jordane45,

effectivement je connais la fonction nl2br()- je vais regarder.

Merci de votre aide.

effectivement la première question résolue.!!

J

Sécurité formulaire HTML/PHP

17 réponses

Discussions similaires