Ses derniers messages sur les forums
le 10/01/2005 à 04:12
XSS
Je n'ai jamais dit qu'il fallait supprimer les variables, mais les nettoyer avant de les utiliser.
_GET, _POST et _COOKIE sont des légumes frais qu'il faut laver soigneusement ;)
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
le 07/01/2005 à 20:42
CNIL
L'adresse est aussi disponible lorsqu'on fait un Whois sur le nom de domaine. Et le plus souvent, l'adresse et le numéro de téléphone qui apparaissent.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
le 07/01/2005 à 02:55
XSS
Bonjour,
Il semblerait que le site, et surtout les forums, fassent trop confiance en le contenu des tableaux _GET et _POST (peut-être même _COOKIE tient ;) ).
En effet, si je note dans la barre d'adresse : http://3hphp.lephpfacile.com/forums/new_topic.php?f=4' and id='5
La variable id sera conservée durant ma navigation.
Donc j'ai deux requêtes :
1 - néttoyer les variables en entrées (toutes, _COOKIE inclu car on peut trafiquer leur contenu) ou refuser ce qui ne correspond pas au motif attendu.
2 - Ne plus donnéer d'exmple de codes qui font directement utiliser les valeurs des variables en entré.
Voilà, c'était mon second message pour me faire encore plus d'amis :)
++
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
J'utilise Vim, avec des scripts qui permettent de générer automatiquement certains bouts de code, prémâcher la doc, etc. Pour tester les pages, j'ai un Apache qui tourne, avec plein d'hôtes virtuels (ça aide pour tester des nouveaux sites, des problèmes particuliers, etc.) et xdebug dans mes PHP.
Dreamweaver ça ne pu pas parce que ça fait du code sal, mais simplement parce qu'il ne prend pas le problème du bon côté : il privilégie le design à la logique. C'est quelque chose que je ne conçoit même pas.
C'était ma contribution au Troll.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.