Bzh

html dans un post

Bibi ! Je ne fais flipper personne ! Ce que j'essaye de faire comprendre, c'est qu'il y a des possibilités de failles partout, que ce soit du coté serveur que du coté client !!!

Le php est un langage tellement permissif que l'on tombe souvent dans la facilité....

Il y a plusieurs raisons qui font que je reste sur ma position:
->La premiere que j'ai exprimé dans mon poste plus haut
->la deuxième : il me parrait important de garder les infos dans la base en brute et de faire les traitements lors de l'affichage !
->la troisième : le bb-code est devenu comme les smileys, un code connu de tout le monde.

Maintenant, chacun ça façon de voir les choses. A la base j'ai une formation dans la conception de systemes industriels ( electrotechniques ) ou la sécurité des personnes tient une place primordiale ! C'est pour cela que l'on utilise la sécurité POSITIVE afin d'etre sur... Passer par htmlentities() en serait l'adaptation au PHP !

html dans un post

alors qu'un simple BB-code permet d'etre sur a 100% !!!!

BB-code,plus, lors de l'affichage un tit htmlentities() plus quelques regex pour générer les balises en fonction du bb-code CA c'est fiable !

Faut pas oublier qu'avec cette connerie de XSS, bin un tit vole de cookie et le voila connecté sous la session admin !

Unable to jump to row 0

et c'était koi ? Je ne suis jamais tombé sur cette erreur...

html dans un post

Heu ! moogli, l'utilisation de strip_tags() ne protege en rien des attaques XSS !!!!

http://www.manuelphp.com/php/function.strip-tags.php

"strip_tags ne modifie pas les attributs des balises que vous autorisez via le paramètre allowable_tags , y compris les attributs style et onmouseover , que des utilisateurs mal intentionnés peuvent utiliser." !

La porte ouverte aux attaques XSS (onmouse,onlcick etc...)

Problème récupération de caractère spéciaux

Il y a base64_encode() et base64_decode() qui permet d'avoir un resultat propre !

Tchusss

Clé primaire ?

Aaaaaaaaaaaaaaah !!!


Attention aux attaques par injections de sql !!!!

Il faut toujours protêger les variables que tu inseres dans tes requetes lorsqu'elles sont accessible de l'exterieur avec mysql_real_escape_string() !


Tchusss....

html dans un post

Bin cela depen de ce que tu souhaites !

si ce sont des news que seul TOI tu peu les mettre y a pa de souci, tu peu mettre directement l'html dans la bdd. Tu perdras beaucoup de place mais tu gagneras en rapidite de traitements !

Mais parcontre c'est la porte ouverte au attaques XSS !

Donc si l'insertion des nouvelles est accessible a tout le monde, tu est oblige de passer par htmlentities() et donc d'utiliser un systeme de BB-CODE !

Voili, tchusss...

actualisez la page automatiquement

NON les iframes ont toujours ete deprecie...

Dans un de mes sites ( www.studentsparty.fr ) j'ai eu besoin de faire la meme chose que toi.

Il faut que tu ailles faire un tours du cote de l'object de javascript XmlHttpRequest !

C'est ce que l'on appel plus souvent l'Ajax ou le web 2 !

Grace a cet object, on peut faire des requetes, afficher des choses en toute transparence sans recharger la page...

Si tu restes plus de deux minutes sur une des pages du site, tu pourras voir que la liste des membres, entre autre, change sans s'en rendre compte !

Tchusssss....

Autoriser des commentaires

Si si, si tu cherches bien, il doit y avoir des petites galerie simple dans lesquelle tu devrais pouvoir faire un peu de copié-collé si tu connais le php !!!!

Mais, heu, je ne suis pas sur que ce soit la meilleur solution...

erreur redirection

Tu es chez free ???

A mon avis un problème de variable globale !!!!

Vérifie qu'a aucun moment tu utilises une varible du style:

$login
$_GET['login']
$_POST['login']

etc...