injection de code dans formulaire

[Selection A]

je cherche a mettre au point une petite application empechant l injection de code (php html mysql et javascript) dans un champ de formulaire.

j au mis en place ceci

$champ_form = eregi_replace ("<(.[^<>]*)>"," ",$champ_form);

c est a dire remplace tout ce qui se trouve entre un < et un > par un espace.

est ce un bon debut?
est ce suffisant?

 

[Phobos]

Salut,

htmlentities($champ_form);

 

[milkiway]

Moi je cherche un moyen de faire htmlentities UNIQUEMENT pour le code entre les balises <code>

 

[Phobos]

preg_replace("#<code>(.*?)</code>#ie","".htmlentities(\\1)."",$champ_form);

 

[milkiway]

Expéditif et performant, merci

 

[afrodiziak]

Aussi pourquoi ne pas limiter les champs du formulaire :
<input type="text" name="...." value="..." maxsize="12" >

 

[Selection A]

si j ai bien compris htmlentities est efficace contre tous les type d injections (php html mysql et javascript)

 

[Norbert_404]

Hello à tous !
Au lieu de créer un post pour mon cas, je poursui la discution sur ce fil...
J'ai un gus qui s'amuse faire (peut- être) un injection d'entête dans un formulairephp de mon site. Je reçois ce genre d'emails :

De : up556@mondomaine.com
Sujet : mondomaine/up556@mondomaine.com
Message : up556@mondomaine.com

Pour y voir plus clair j'ai quelques questions :
- Pourquoi utiliser une adresse emailfictive en utilisant @mondomaine ?
- Quel est l'intérêt de répéter cette adresse email dans le champs "de" et le message ?

Je reçois également un autre email de ce genre :
comme celui présenté en haut mais avec du charabia dans le sujet :

Subject: www.xxxxx.com / or  Content-Transfer-Encoding: quoted-printable  Content-Type: text/html  Subject: edit  bcc: anithamm@tellingwellsoe.com    the next part of the process pannage a mixture of pork fat and flour is use=  d to seal the cut end of the joint. his reduces the speed in which the meat=
 dries out during the warmer months of arch pril            1f3aabc672f14c851f3a00579aee2bd1.

Comment s'en protéger e, sachant que j'ai mis un captcha et mis en place un formulaire censé être protégé...(déjà j'ai plus de spam des moteurs, je dis ça car j'ai l'impression que ces email sont fait manullement)

Voila merci beaucoup :wink:

 

[Norbert_404]

up :mrgreen:

 

[Ezarion]

Aussi pourquoi ne pas limiter les champs du formulaire :
<input type="text" name="...." value="..." maxsize="12" >

C'est totalement inutile ^^!! Je vais même t'expliquer pourquoi!

Ton formulaire envoie les données on s'entend?

Tu met un maxsize à 12 et tu te dit bon.. personne vas pouvoir écrire plus qu'à 12 donc pas besoin de protèger..

Bah moi je vais prendre le source code de ta page de sauvegarder sur mon bureau et changer la forme du formulaire (exemple mettre des textarea pour) entrer les valeurs que je veux et faire SEND (en ayant préalablement modifié les liens relatifs en lien absoluent vers ton site ) et la tu vas être.. Baisé ^^.

Me reste qu'à faire du sql injection ou autre truc plus ou moins grave.

 

[PERDiTiOn35]

A tester sur une requete avec des chr()

(plus de précision, voir la faille phpbb, Execution, version 2.0.20 si mes souvenirs sont bons....)