Caracteres spéciaux

Répondre
Superleseb
le 10/04/2005 à 14:23
Superleseb
Salut tt le monde !!
Ca fé un bail ke j'ai po trop touché au code...
Et j'ai un gugus ki s'amuze a pourrir mes forums !!! :/ il met du javascript ds le titre pr insérer un nouveau sujet.

Et je voudrais donc que l'on ne puisse plus insérer de script dans le titre... il fo annulé des caracteres dans le champs c ca ? mé je c po comment faire, et j'arrive po a trouver sur le site ^^ désolé, mici

@+ les gens
Si t'es fier d'être un Nazebroke, tape dans tes mains !!
Bzh
le 10/04/2005 à 14:42
Bzh
Salut !!!

Utilises la fonction htmlentities()

Et fais gaff, il est très dangereux de permettre l' insertion de javascript !!!! Il suffit de récupérer les cookies de tes utilisateurs pour se logger à leurs places et même pire, si tu as une partie admin et que tu es logger, suffit de récupérer ton cookie (en javascript) pour se logger à ta place entant qu' admin....

Je te fais pas de dessins, je penses que tu as compris...

Ciao...
Superleseb
le 10/04/2005 à 18:05
Superleseb
Oué dakord, j'ai compris merci du renseignement... j'espère que ta pa foutu la merde ds mon site kan même !! car ca me plairait pas trop !!!

Merci d'me donner un exemple sur mon site ^^ mé g flippé o début kan meme...
Si t'es fier d'être un Nazebroke, tape dans tes mains !!
Bzh
le 11/04/2005 à 20:51
Bzh
Non...

Mais cela peut s' avérer très dangereux !!!

Il ne faut pas oublier les attaques CSS (ou XSS) par script coter client !!!

Ciao...
Bzh
le 11/04/2005 à 22:11
Bzh
Insérer un code javascript dans un forum (par exemple) qui fera une redirection vers ta page( que tu as créé) avec comme paramètre les cookies du visiteurs !!!

il peut y avoir:

=>le cookie de la session en cour
=>le cookie de l'auto-connexion (comme sur ce site) s' il y a

etc...

Il suffit d' émuler le cookie, de se connecter au site de la victime, et tu es automatiquement reconnu comme la personne dont tu viens de prendre les cookies...

Simple et peut être dangereux si ce sont les cookies de l' admin...

Mais attention, même avec htmlentities() et un BB-code, il est tout à fait possible d' y arriver.. ce protêger n' est pas tjrs simple...

Lors d' ajout de lien, bien vérifier que :

(lien)http://le-lien(/lien) et non (lien)le-lien(/lien)

les parentèses pour que se ne soit pas traduit par le BB-code de ce site...

pour éviter (lien)javascript:window.location etc...(/lien)...

Enfin, il n' est pas simple de bien se protèger...

Bye...
Bzh
le 13/04/2005 à 19:07
Bzh
Non, il faut vraiment interdire le javascript !!!

Si on respect bien ça, y a pas de souci...

Bye...
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours