Formation par Olivier Duffez

Formation au référencement par Olivier Duffez, créateur de WebRankInfo !
Une formule efficace alliant théorie et pratique, avec une haute disponibilité des intervenants
Cette formule a déjà convaincu plusieurs centaines d'entreprises, pourquoi pas vous ?
Réservez vite votre place en ligne (convention possible pour imputer sur le budget formation)

Formation référencement Marseille

injection de code dans formulaire
Poster un nouveau sujet Imprimer cette discussion    Forum -> Administration d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
Selection A
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 14 Mar 2005
Messages: 249
Localisation: Paris
URL permanente de ce messagePosté le : Dim Avr 03, 2005 14:53    Sujet du message: injection de code dans formulaire
je cherche a mettre au point une petite application empechant l injection de code (php html mysql et javascript) dans un champ de formulaire.

j au mis en place ceci

$champ_form = eregi_replace ("<(.[^<>]*)>"," ",$champ_form);

c est a dire remplace tout ce qui se trouve entre un < et un > par un espace.

est ce un bon debut?
est ce suffisant?
 
Selection A Visiter le site web du posteur
Phobos
WRInaute passionné
WRInaute passionné

Inscrit le: 21 Mar 2004
Messages: 939
Localisation: Aux frontières Belges et Luxembourgeoises
URL permanente de ce messagePosté le : Dim Avr 03, 2005 14:56    Sujet du message: injection de code dans formulaire
Salut,
Code:
htmlentities($champ_form);

Wink
 
Phobos Visiter le site web du posteur
milkiway
WRInaute accro
WRInaute accro

Inscrit le: 03 Fév 2004
Messages: 1949
Localisation: Venigo
URL permanente de ce messagePosté le : Dim Avr 03, 2005 15:26    Sujet du message: injection de code dans formulaire
Moi je cherche un moyen de faire htmlentities UNIQUEMENT pour le code entre les balises <code>
 
milkiway Visiter le site web du posteur
Phobos
WRInaute passionné
WRInaute passionné

Inscrit le: 21 Mar 2004
Messages: 939
Localisation: Aux frontières Belges et Luxembourgeoises
URL permanente de ce messagePosté le : Dim Avr 03, 2005 15:39    Sujet du message: injection de code dans formulaire
preg_replace("#<code>(.*?)</code>#ie","".htmlentities(\\1)."",$champ_form);
 
Phobos Visiter le site web du posteur
milkiway
WRInaute accro
WRInaute accro

Inscrit le: 03 Fév 2004
Messages: 1949
Localisation: Venigo
URL permanente de ce messagePosté le : Dim Avr 03, 2005 16:35    Sujet du message: injection de code dans formulaire
Expéditif et performant, merci Very Happy
 
milkiway Visiter le site web du posteur
afrodiziak
WRInaute impliqué
WRInaute impliqué

Inscrit le: 25 Déc 2004
Messages: 370
URL permanente de ce messagePosté le : Dim Avr 03, 2005 16:46    Sujet du message: injection de code dans formulaire
Aussi pourquoi ne pas limiter les champs du formulaire :
<input type="text" name="...." value="..." maxsize="12" >
 
afrodiziak Visiter le site web du posteur
Selection A
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 14 Mar 2005
Messages: 249
Localisation: Paris
URL permanente de ce messagePosté le : Dim Avr 03, 2005 17:34    Sujet du message: injection de code dans formulaire
si j ai bien compris htmlentities est efficace contre tous les type d injections (php html mysql et javascript)
 
Selection A Visiter le site web du posteur
Norbert_404
WRInaute discret
WRInaute discret

Inscrit le: 10 Nov 2006
Messages: 81
URL permanente de ce messagePosté le : Lun Déc 11, 2006 10:21    Sujet du message: injection de code dans formulaire
Hello à tous !
Au lieu de créer un post pour mon cas, je poursui la discution sur ce fil...
J'ai un gus qui s'amuse faire (peut- être) un injection d'entête dans un formulairephp de mon site. Je reçois ce genre d'emails :

Code:
De : up556@mondomaine.com
Sujet : mondomaine/up556@mondomaine.com
Message : up556@mondomaine.com


Pour y voir plus clair j'ai quelques questions :
- Pourquoi utiliser une adresse emailfictive en utilisant @mondomaine ?
- Quel est l'intérêt de répéter cette adresse email dans le champs "de" et le message ?

Je reçois également un autre email de ce genre :
comme celui présenté en haut mais avec du charabia dans le sujet :
Code:
Subject: www.xxxxx.com / or  Content-Transfer-Encoding: quoted-printable  Content-Type: text/html  Subject: edit  bcc: anithamm@tellingwellsoe.com    the next part of the process pannage a mixture of pork fat and flour is use=  d to seal the cut end of the joint. his reduces the speed in which the meat=
 dries out during the warmer months of arch pril            1f3aabc672f14c851f3a00579aee2bd1.


Comment s'en protéger e, sachant que j'ai mis un captcha et mis en place un formulaire censé être protégé...(déjà j'ai plus de spam des moteurs, je dis ça car j'ai l'impression que ces email sont fait manullement)

Voila merci beaucoup Wink
 
Norbert_404 Visiter le site web du posteur
Norbert_404
WRInaute discret
WRInaute discret

Inscrit le: 10 Nov 2006
Messages: 81
URL permanente de ce messagePosté le : Lun Déc 11, 2006 16:40    Sujet du message: injection de code dans formulaire
up Mr. Green
 
Norbert_404 Visiter le site web du posteur
Ezarion
Nouveau WRInaute

Inscrit le: 07 Déc 2006
Messages: 21
URL permanente de ce messagePosté le : Lun Déc 11, 2006 19:52    Sujet du message: injection de code dans formulaire
afrodiziak a écrit:
Aussi pourquoi ne pas limiter les champs du formulaire :
<input type="text" name="...." value="..." maxsize="12" >


C'est totalement inutile ^^!! Je vais même t'expliquer pourquoi!

Ton formulaire envoie les données on s'entend?

Tu met un maxsize à 12 et tu te dit bon.. personne vas pouvoir écrire plus qu'à 12 donc pas besoin de protèger..

Bah moi je vais prendre le source code de ta page de sauvegarder sur mon bureau et changer la forme du formulaire (exemple mettre des textarea pour) entrer les valeurs que je veux et faire SEND (en ayant préalablement modifié les liens relatifs en lien absoluent vers ton site Razz) et la tu vas être.. Baisé ^^.

Me reste qu'à faire du sql injection ou autre truc plus ou moins grave.
 
Ezarion
PERDiTiOn35
Nouveau WRInaute

Inscrit le: 18 Aoû 2006
Messages: 21
URL permanente de ce messagePosté le : Mer Déc 13, 2006 20:09    Sujet du message: injection de code dans formulaire
A tester sur une requete avec des chr()

(plus de précision, voir la faille phpbb, Execution, version 2.0.20 si mes souvenirs sont bons....)
 
PERDiTiOn35 Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Administration d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1 - 
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

Définitions :

  • HDI (High-pressure Direct Injection)

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort