Titre: securite
Posté par: devilshaughter le le 06-09-2004 a 23:46:14
bonjours
j'aimerais savoir si quelqu'un savais comment resoudre la faille du script suivant
<?php
$host="***";
$user="***";
$pass="***";
$table="***";
$db = mysql_connect($host, $user, $pass)
or die("Impossible de se connecter : " . mysql_error());
mysql_select_db($table,$db) or die('Erreur de selection '.mysql_error());
$result = mysql_query("SELECT text FROM essai")
or die("Impossible d'exécuter la requête : " . mysql_error());
$news = mysql_result($result,0);
echo '<form><center><textarea name="textn" id="textn">';
echo $news;
echo '</textarea><br><input type="submit" value="Envoyer" name="envoyer"></center></form>';
if(empty($textn))
{
echo '<font color="red">Attention, le champ ne peut pas rester vide !</font>';
}
else
{
$sql1 = "UPDATE essai SET text='$textn'";
// on envoie la requete
mysql_query($sql1) or die('Erreur SQL !<br>'.$sql1.'<br>'.mysql_error());
echo 'Vos infos on été ajoutées.';
}
mysql_close();
?>
la faille etant que l'on peut rentrer n'importe quel valuer dnas la variable textn
le probleme est que la page doit accepter le html aussi que c'est balise
|
Titre: Re:securite
Posté par: Cocci le le 07-09-2004 a 00:00:40
pour éviter les balises html il existe des fonctions qui te vire toute balise html et tou problème..
du genre...
Code:
$textn=stripslashes(htmlspecialchars(strip_tags($textn),ENT_QUOTES));
|
|
Voilà !
J'espère que ca répond a ta question ! |
Titre: Re:securite
Posté par: jb_gfx le le 07-09-2004 a 06:06:08
la faille etant que l'on peut rentrer n'importe quel valuer dnas la variable textn
le probleme est que la page doit accepter le html aussi que c'est balise |
|
J'ai beau tourner cette phrase dans tous les sens je ne comprend toujours pas ce que tu as bien pu vouloir dire...
|
Titre: Re:securite
Posté par: Cocci le le 07-09-2004 a 08:54:19
| Faut essayer de rentrer en communication avec ces petites êtres vert venu d'ailleur !! ::) |
Titre: Re:securite
Posté par: devilshaughter le le 07-09-2004 a 12:42:18
lol ce quel voulais dire c'est que la commande doit accepter le html mais ne pas utilise le php pour evite les plus gros faille
mais bon je pense que sa va etre tres dur |
Titre: Re:securite
Posté par: Cocci le le 07-09-2004 a 15:40:21
| Bon visiblement j'ai rien compris .. ??? |
Titre: Re:securite
Posté par: paysite le le 21-09-2004 a 21:54:00
pour éviter les balises html il existe des fonctions qui te vire toute balise html et tou problème..
du genre...
Code:
$textn=stripslashes(htmlspecialchars(strip_tags($textn),ENT_QUOTES));
|
|
Voilà !
J'espère que ca répond a ta question !
|
|
exactement ce que j'aurai écrit...on évite ainsi les sql injections |
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|