Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1613 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  addslashes et htmlentities : javascript qui s'execute quand même

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

addslashes et htmlentities : javascript qui s'execute quand même

n°1861296
Blair witc​h
Posté le 13-03-2009 à 17:11:29  profilanswer
 

Bonjour, j'ai un léger problème, enfin je sais pas si c'est vraiment un gros problème mais voilà :  
J'ai un code php qui permet d'afficher un texte à partir d'une requête sql

Code :
  1. echo $texte;


Ce texte a été soumis avant à des fonctions de protection :  

Code :
  1. // submit du texte depuis un formulaire
  2. // protection puis insertion en BDD
  3. $texte = addslashes(htmlentities(nl2br($_POST['texte'])));


 
Jusque là, aucun problème, sauf que si dans mon champ je submit par exemple :

Code :
  1. <img style=visibility:hidden; src=url onload=test=&#039;test&#039;;alert(unescape(test));>


 
Et bien j'ai une alerte javascript qui s'affiche sur ma page, ou je récupère le texte  :heink:  
Je pourrais très bien effectuer un str_replace lors de la soumission en BDD, mais y a t-il une fonction qui permet de retirer les ">" "<" par exemple ? pour éviter toute tentative d'attaque XSS ?
 
Merci


Message édité par Blair witch le 13-03-2009 à 17:11:42
mood
Publicité
Posté le 13-03-2009 à 17:11:29  profilanswer
 

n°1861301
masklinn
í dag viðrar vel til loftárása
Posté le 13-03-2009 à 17:23:22  profilanswer
 

1. escaper du SQL avec addslashes = fail
2. escaper (ou tenter) le HTML avant d'insérer dans la DB = fail
3. nl2br avant escaping html = fail
4. si ton code source après htmlentities contient '<img' et non '&lt;img', c'est que tu fais de l'unescaping quelque part


Message édité par masklinn le 13-03-2009 à 17:24:10

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
n°1861302
Blair witc​h
Posté le 13-03-2009 à 17:30:01  profilanswer
 

Euh merci, mais tu me proposes quoi ? (à part des "fails" :o)

n°1861309
masklinn
í dag viðrar vel til loftárása
Posté le 13-03-2009 à 17:47:05  profilanswer
 

D'apprendre à coder, et de fournir plus de code parce que là vu ce que tu donnes à part avec une boule de cristal ça va être dur d'aider.


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
n°1861311
Blair witc​h
Posté le 13-03-2009 à 17:48:59  profilanswer
 

Très aimable  [:implosion du tibia]
 
Si quelqu'un d'un peu moins aigri et hautain, pourrait m'expliquer où est le problème ?
Sinon bah tant pis ...


Message édité par Blair witch le 13-03-2009 à 17:58:18
n°1861325
Blair witc​h
Posté le 13-03-2009 à 18:07:23  profilanswer
 

Bon c'est bon c'est réglé ...
 
Merci quand même à Masklinn, enfin plus désolé de l'avoir déranger  :sarcastic:

n°1861327
Profil sup​primé
Posté le 13-03-2009 à 18:15:26  answer
 

bah en même temps on peut pas t'aider si on connait pas les autres fonctions appliquées à ton texte avant la sortie...


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  addslashes et htmlentities : javascript qui s'execute quand même

 

Sujets relatifs
Doctype et javascriptQuestion de noob html, css... (javascript??)
CSS vs JavaScript & Reduire/Agrandir texte[resolu]probleme concatenation chaine en javascript
Accès direct aux css en javascript ?[Résolu] Pb onClick (javascript) sous firefox 3.0.6
[javascript/html] fonction pour enlever une chaine dans code hTMLDéfilement images d'une requete php avec javascript
Petit probleme javascript[Javascript] calcul de prix avec multiplicateur variable !!!
Plus de sujets relatifs à : addslashes et htmlentities : javascript qui s'execute quand même

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.035 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR