|
Auteur | Sujet : Help site 'piraté' |
---|
FlorentG Unité de Masse | Reprise du message précédent : Message édité par FlorentG le 11-05-2006 à 17:11:09 |
Publicité | Posté le 11-05-2006 à 17:11:00 |
Djebel1 Nul professionnel | et là en l'occurence, un coup d'htmlentities te protège non ?
Message cité 1 fois Message édité par Djebel1 le 11-05-2006 à 21:48:40 |
FlorentG Unité de Masse |
|
Djebel1 Nul professionnel | oki merci ^^
Message édité par Djebel1 le 11-05-2006 à 22:24:57 |
FlorentG Unité de Masse | Ouais voilà, c'est un peu le même principe, au final, c'est aussi une faille de type XSS |
Djebel1 Nul professionnel | et pour les retours chariots, en quoi ça peut être une faille de sécu pour toi ? |
FlorentG Unité de Masse | C'est justement ce qui permet de séparer les différents headers, et donc d'injecter ceux qu'on veut (genre du coup en modifiant un 302 redirect en 200 ok) |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
Djebel1 Nul professionnel | ça les échappe pas. Fais echo htmlentities("bla\r\nye\r\n" ); et regarde le code source, tu vois bien qu'il y a des retours à la ligne
Message cité 1 fois Message édité par Djebel1 le 11-05-2006 à 22:55:19 |
Publicité | Posté le 11-05-2006 à 22:50:27 |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
Djebel1 Nul professionnel | non mais attends, mysql_real_escape_string faut l'utiliser uniquement pour utiliser l'input dans une requête mysql ...
Message cité 1 fois Message édité par Djebel1 le 11-05-2006 à 23:11:55 |
FlorentG Unité de Masse | Je parlais, pour un header location, de faire un str_replace, parce que htmlentities laisse les retours chariots intacts, ce qui peut poser problème |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
Djebel1 Nul professionnel | ouais enfin, après ton input il est "corrompu", t'es obligé de faire un coup de stripslashes pour afficher l'input de l'utilisateur, sans avoir la garantie que ça correspondra aux caractères d'échappement de la base de données ... Donc au cas réafficher de la merde.
Message cité 1 fois Message édité par Djebel1 le 12-05-2006 à 00:07:39 |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
Djebel1 Nul professionnel | Et tu veux pas recoder une lib PHP histoire d'être sur de pas utiliser les outils adaptés à une tache ?
Message édité par Djebel1 le 12-05-2006 à 02:12:46 |
FlorentG Unité de Masse |
Là on utilise MRES, vu que c'est la meilleure méthode pour escaper pour Mysql, sachant que ça prend en compte aussi le charset
Là c'est plus du tout MRES qu'il faut utiliser, mais htmlspecialchars (avec le paramètre ENT_QUOTES si on affiche dans un attribut, et ENT_NOQUOTES si on affiche dans un élément normal
|
FlorentG Unité de Masse |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
FlorentG Unité de Masse | okay okay okay okay C'est bien |
Djebel1 Nul professionnel |
|
FlorentG Unité de Masse |
|
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
FlorentG Unité de Masse | Ca dépend ce que t'as testé : temps processeur, ou temps d'exécution totale du script |
Djebel1 Nul professionnel |
Message cité 1 fois Message édité par Djebel1 le 12-05-2006 à 15:49:37 |
The-Shadow DéveloppeurT'as été voir dans ton profil? | Et pour ne pas parler dans le vide, testez donc ça :
Message cité 1 fois Message édité par The-Shadow le 12-05-2006 à 15:51:04 |
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
Djebel1 Nul professionnel | hey molo, j'ai déjà dit que tu faisais ce que tu voulais, que c'était pas pire que de ne rien faire, et que j'étais opposé à ta solution (qui est clairement toute pourrie).
|
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
The-Shadow DéveloppeurT'as été voir dans ton profil? |
|
FlorentG Unité de Masse |
|
FlorentG Unité de Masse |
|
Publicité | Posté le |
Sujets relatifs | |
---|---|
[.NET] Mettre du 1.1 et du 2.0 sur le même site | Probleme affiche de mon site sous FireFox |
Besoind 'aide ,bug sur mon site | Créér des menus dans un site |
Faire de la pub pour mon site | VIRUS dl.exe Help |
Cherche tuto pour creation de site a à z | comment creer une partie admin sur son site |
Help ! lire des données serie RS232 | lire une video sur un site .... |
Plus de sujets relatifs à : Help site 'piraté' |