Titre: "PHP injection"
Posté par: calenfeaion le le 31-05-2005 a 17:23:42
Bonjour à tous,
Je me pose un question, j'avais prévu de faire sa à un site:
Code:
<title><?php echo $_GET['titre'] ?></title>
|
|
Code:
<a href="#?titre=titre de la page">Lien de navigation</a>
|
|
Mais je me pose la question, comme pour l'instant je m'interresse au hacking, peut au faire une "injection PHP" ?
Genre, on prend l'url et on change la valeur de $titre ? |
Titre: Re:"PHP injection"
Posté par: paysite le le 31-05-2005 a 17:31:04
| bien sur, si tu filtres rien on t'envoie du js ou autre...tout ce qui est get/post/cookie/server doit être filtré..par défaut donc une appli qui ne fait pas un truffée de failles |
Titre: Re:"PHP injection"
Posté par: jb_gfx le le 31-05-2005 a 21:32:05
Tu mets tes titres dans un fichier inclure ou dasn ta base de donnée et tu appelle un id par l'url.
Code:
if ($_GET['page'] == 'accueil') {
$titre = 'Titre de la page d'accueil';
}'
...
<title><?php echo $titre ?></title>
...
<a href="#?page=accueil">Lien de navigation</a>
|
|
Bon c'est bidon comme exemple... |
Titre: Re:"PHP injection"
Posté par: nyrodev le le 01-06-2005 a 07:27:33
Tu peux joué avec ça plus avec un peu d'url rewriting.
Ca sera mieux pour le référencement, et tu pourras mettre un nom de variable exotique et la page php pourra elle aussi avoir un nom exotique. |
Titre: Re:"PHP injection"
Posté par: Didier_S le le 08-06-2005 a 02:25:59
si tu veux vraiment que le titre passe par l'url, tu peux utiliser la fonction htmlentities, qui encode chaque caractère ayant un équivalent en HTML. (ca évitera déja l'utilisation de javascript, etc)
Effectivement l'URL Rewriting peut être très intéressant dans ton cas.
|
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|