Gaz0
Admin
Messages : 7
Points : 18
Réputation : 0
Date d'inscription : 19/10/2012
Localisation : Hacker
 |  Sujet: Failles PHP  Ven 19 Oct - 23:58 | |
| Bonjour,
il est courant maintenant de demander aux internautes tout ce qui vous passe par la tête, et d'afficher ensuite ces informations. Un internaute mal intentionné pourrait alors y mettre du code HTML pour défacer votre site (rien à craindre pour les donnés, juste pour la présentation).Voici un exemple de formulaire courant : - Citation :
- <form action="page.php" method="post">
<p><textarea name="message"></textarea>
<input type="submit" value="Envoyer" /></p>
</form>
Voici maintenant un exemple de code PHP qui récupère la valeur du message tapé et l'affiche sur la page Web : - Citation :
- <?php
if(isset($_POST['message']))
{
echo $_POST['message']; //On aurait très bien pu stocker le message, cela serait revenu au même
}
?> Maintenant imaginions que l'internaute rentre du code html quelconque, il fait ce qu'il veut avec la présentation de votre site, et peut même utiliser du javascript pour rediriger l'internaute n'importe où. Nous allons utiliser la fonction htmlentities() pour corriger la faille : - Citation :
- <?php
if(isset($_POST['message']))
{
echo htmlentities($_POST['message']); //Les caractères HTML sont désormais affichés et non interprétés
}
?> Bonne journée  | |
|
