joora

Bonjour!

Ne vous inquiétez pas je n'ai encore jamais reussi à faire du javascript qui fonctionne tout seul...

Mais je ne perds pas espoir!

Bon voici ma fonction (qui ne fonctionne pas):

<script language="javascript"> 
<!-- 

var mon_div = null;
var divpopup = null;

function popup_confirmation(titre,contenu,nomformulaire,methode,action) 
{ 
	var top=(document.height-hauteur)/2; 
	var left=(document.width-largeur)/2;
	divpopup = document.createElement("div");
	divpopup.style.position='absolute';
	divpopup.style.top=top+'px';
	divpopup.style.left=left+'px';
	  divpopup.style.text-align='center';
	  divpopup.innerHTML = '<h3>'+titre+'</h3>'
						+contenu+
						'<form action="'+action+'" method="'+methode+'">
						<input name="'+nomformulaire+'" type="button" value="oui" /> 
						<input name="'+nomformulaire+'" type="button" value="non" />
						</form>';
	  // ajoute l'élément qui vient d'être créé et son contenu au DOM
	  mon_div = document.getElementById("popup");
	  document.body.insertBefore(divpopup, mon_div);
} 
--> 
</script>

et un exemple d'appel de la fonction qui est généré par php :

<script type="text/javascript">popup_confirmation("Supprimer cette news definitivement?","News n°13
Date: 2008-08-24 22:49:00

Titre: Titre

Contenu: blablabla
","confirmsupp","POST","?action=supprimer2&nid=13")</script>

Resultat = RIEN de créé sur ma page par javascript...

Que dois-je modifier pour obtenir un code généré par la fonction?

(j'aimerais gérérer ça par ex: <div id="popup" style="position:absolute; top:11px; left=22px; text-align=center">contenu de ma div</div> juste après la balise body)

merci!

merci pour ta réponse!

c'est dommage pour la vidéo...

dans mon cas j'ai des vidéos de youtube et dailymotion,

donc tant pis c'est impossible...

à moins que...

que se passe-t-il si on superpose plusieurs éléments flash?

Tout est dans le titre :

Je voudrais mettre un cadre qui déborde devant ma vidéo (embed),

mais la vidéo reste toujours au 1er plan, quel que soit la position de son conteneur...

ALors y'a-t-il un moyen de forcer la vidéo à passer derrière ou non?

merci!

Je viens de trouver ça pour tester sa sécurité : http://www.beyondsecurity.com/website_audit.html (payant par contre)

Pour ceux qui pensent qu'il vaut mieux payer 26$ et connaître ses failles que de risquer de faire pirater, allez jeter un oeil

oui php permet ça, le plus souvent avec des bases de données mySQL.

Mais il faudra aussi je pense apprendre à utiliser flash (et son langage de programmation qui est assez proche du C il me semble? pour au moins pouvoir personnaliser les codes proposés sur internet par des experts) afin de gérer plus facilement le contenu multimédia... Par exemple les vidéos et une partie du contenu de youtube et daylimotion sont en flash, ce qui leur procure des possibilités bien plus étendues que le php seul! (surtout que la façon pour mettre du contenu multimédia est différent selon le navigateur... alors que le flash est "universel" pour tous ceux qui ont le "flash player" (tant qu'il est gratuit) et savent autoriser le contenu activeX bloqué par IE mdr (le rollover par dreamweaver est considéré comme dangereux par le nouveau IE parano))

Mais si tu fais un espace membre + upload possible de fichiers, tu auras une TRES GROSSE partie de sécurité, qui représentera je pense la moitié du travail... car question simplement upload il y a énormément de moyens de contourner les sécurités, et donc il faut utiliser des moyens poussés et se compliquer la vie pour être "tranquille" (ne jamais compter sur l'honnêteté des visiteurs!), donc le mieux est de se renseigner sur les moyens de protection des sites les plus connus (imageshack, youtube qui recode les fichiers, ...)

ensuite pour le SQL il faut aussi se blinder de sécurités, et pour l'espace membre aussi les hackers utilisent tellement de moyens....

Donc ça fait:

bien maitriser le html (facile) + CSS

php + SQL (et surtout comment éviter les failles sur son site!!!)

flash pour le multimedia

se renseigner sur le travail des hackers (voire même trouver un de confiance qui puisse t'aider à trouver les failles et les corriger avant le lancement officiel, il y en a beaucoup qui font ça) et utiliser leurs outils (comme des détecteurs de failles) sur ton site pour le tester toi même. C'est important de toujours penser au "pire" quand on utilise un code car malheureusement il y a de plus en plus d'attaques par des robots et certains font ça sans s'occuper du contenu mais juste par plaisir)

remarque : hacker ne veut pas dire "pirate" ni "illégal", certains le sont, d'autres non, il ne faut pas confondre serrurier avec cambrioleur...

bref 6 mois pour tout ça... ça fait de l'intensif! J'espère que tu n'es pas tout seul pour ton travail? (je ne parle pas des forums)

PS : tu pourras avoir ton propre serveur? Car le mieux (voire indispensable pour toi) serait que tu puisses installer les outils dont tu as besoin sur ton serveur, par exemple pour pouvoir convertir ou encoder les fichiers uploadés par les utilisateurs,

si tu as un mutualisé tu seras très limité et chercher des alternatives risque d'être fastidieux,

d'un autre côté gérer son serveur c'est des connaissances en plus à avoir (enfin ça il faut demander à ceux qui en ont)

___

Pour les webmasters du hub : n'hésitez pas à me corriger si vous n'êtes pas d'accord avec ce que je dis je me trompe peut être!

Le blacklistage n'est pas automatique, il y a forcément une vérification humaine à un moment ou à un autre.

Ok si tu es sûr que c'est le cas en pratique, y'a pas de souci alors

oui c'est vrai qu'ici c'est particulier bravo!

Pour l'upload d'images j'ai vu nulle part qqn qui vérifiait si l'image ne contenait pas de code php mais l'upload sécurisé c'est tellement compliqué à faire qu'il faut être courageux pour faire un upload publique... (il y a tellement de robots qui parcourent tous les sites et qui tentent d'uploader ce genre d'images... )!

Mais sinon c'est vrai qu'on ne retrouve pas ici les "solutions" hyper dangereuses apportées souvent dans les forums

(enfin pour le peu que je connaisse sur le sujet car je suis vraiment débutant)

oui mais ça google ne fait pas la différence :

puisqu'on peut mettre n'importe quoi comme texte, et que google (et cie) ne peuvent pas vérifier si ça correspond au texte des images...

il risque de classer ça comme du.. (j'ai oublié le nom) et peut être backlistage?

Je vais demander sur WRI à l'occasion pour être sûr.

Ah oui ok...

En regardant leur page (celle là : http://www.csszengarden.com/?cssfile=209/209.css ) je constate que les titres sont des images... Mais qu'ils ajoutent quand même les mêmes titre en texte en dehors de la zone visible de la page!

Cette pratique n'est-elle pas pénalisante vis à vis des moteurs de recherche? (mettre du texte non visible)

Donc le problème est sur les versions IE<7 apparament.

(donc encotre trop d'utilisateurs hélas pour laisser ça comme ça...)

katmar soit je n'ai pas compris, soit c'est impossible...

sans css c'est tout de la position absolue,

et avec css je l'ai centré ça c'est plus le problème, mais ce qui est à l'intérieur n'est pas placé comme il faut avec IE6, et je pense que mon CSS n'est pas tip top non plus...

Merci pour tes liens et tes conseils karnabal

Sinon à propos de ça : "ne place pas une grande image en fond "

Ok c'est vrai que c'est plus simple pour l'agencement, mais si on veut modifier l'image de fond il faut tout redécouper après...

car tu vois qu'il y a des effets de fondus et autres, donc je ne vois pas trop comment découper ça!

Et les "blocs" sont en quinconce ça complique un peu pour moi qui vient d'essayer le CSS

Pendant que j'y suis, j'utilise NVU, connaissez vous un logiciel (gratuit... ou rendu gratuit) meilleur que lui SVP? (car parfois quelques bugs... vite ennervants!)

Merci beaucoup,

j'y vois plus clair

(et je sais un peu comment utiliser des failles d'injection php (d'ailleurs nombre de codes proposés ici sont tres mal sécurisés), donc je comprends très bien le problème! merci!)

donc oui ça doit être désactivé sur l'hébergement (gratuit) de cette page et pas sur l'autre hébergement (payant)...

Bonjour!

Je fais un site pour la première fois avec CSS,

et donc d'abord ouvre la page pour comprendre :

http://all-crash.ovh.org/technichien/

Je veux que tout le bloc soit centré,

mais ensuite les éléments à l'intérieur du bloc sont organisés en fonction de l'image d'arrière plan, donc le mieux serait de pouvoir choisir une position ABSOLUE mais "relative" au centrage du bloc!

Je pensais avoir réussi car j'obtenais la même chose avec firefox ET explorer sur mes deux ordis, mais hélas che deux autres personnes (plus basse résolution d'écran + internet explorer) tout est décalé...

Donc savez vous comment je peux organiser ça de façon sûre pour 95% des visiteurs?

Merci, je débute en CSS (autodidacte) alors c'est pas toujours évident...

Je veux obtenir ça mais centré :

http://all-crash.ovh.org/technichien/index_html_ancien.htm (version sans css)

Effectivement, c'est possible de le faire sans superglobale, mais cela peut poser des problèmes de sécurité :

On récupère la variable avec

$nom_du_champ_de_formulaire

c'est ce que j'utilise dans le code de mon 1er post, mais ça ne fonctionne pas!

Le souci, c'est qu'on peut potentiellement écrase une variable du même nom qui aurait été définie avant. Il y a quelques sécurités pour empêcher cela, mais elles ne sont pas hyper-fiables.

Comme tu commences à coder, il vaut mieux prendre les bonnes habitudes tout de suite

Tu veux dire qu'avec la méthode variables globales il n'y a pas de risque? ou moins de risques?

voila un code que j'utilise et qui marche:

merci beaucoup ça marche mieux comme ça lol!

(je n'ai jamais appris le PHP désolé...)

Mais je me demande toujours pourquoi sur une autre page ça marche sans "superglobale"...

en fait je crois qu'il y a deux manières de faire, une avec les superglobales et l'autre sans, en raison de problemes de sécurité avec les superglobales, non?

Alors pour mieux comprendre, comment faire sans?

Encore merci d'avoir répondu et résolu mon problème rapidement

Voilà le code:

Or la variable secu ne prend pas la valeur qu'on lui donne dans le formulaire...

et je suis coincé!

(le but est de jouer le rôle de mot de passe, je sais que c'est pas sécurisé mais la page ne devrait pas être trouvée par qui que ce soit en principe, c'est juste une sécurité supplémentaire qui dissuadera la majorité des gens qui tomberaient par hasard sur cette page)

Comment faire SVP

Bonjour!

j'avais laissé tombé ce sujet sur ce forum étant donné qu'il n'y avait plus de réponse, et que je m'attendais à une réponse MP (donc prévenue par mail) de votre part...

Merci de me dire qu'il est interdit de le posséder, je m'en doutais mais je n'étais pas sûr...

Merci pour les infos aussi.

J'ai bien fait de ne pas laisser la source publique.

Dommage quand même qu'il soit interdit de le posséder, car cela n'empêche PAS de se le procurer, il suffit de fouiller juste UN PEU pour avoir cet outil ou des similaires (je consulte parfois des sites où discutent les hackers (parfois des vrais, parfois pas, souvent c'est en arabe et je pige rien aussi) pour me mettre un minimum au courant de la façon dont ils attaquent et donc pour savoir me protéger... j'en ai appris des choses à ne pas faire d'ailleurs)

Bien entendu je n'ai pas l'intention de hacker qui que se soit, si c'était le cas d'ailleurs je n'aurais pas posté ici...

Je signale juste que ce "méchant" fichier QUI EST ACTUELLEMENT UTILISE PAR DES HACKERS (c'est pas une antiquité, je l'ai vu a l'action dans une vidéo récente envoyée par un hacker algérien à sa victime), je l'ai donné à un de mes hébergeurs après avoir constaté qu'on pouvait accéder à des fichiers sensibles sur le mutu, et ça lui a permis de corriger ses failles de sécurité... d'ailleurs la sécurité des mutu laisse parfois à désirer... (constat perso + forum wri section des sites hackés où le hacker prétend à une faille chez Sivit)

Bon je ne m'étendrai pas non plus sur ce sujet délicat.

Pour revenir à mon site, le fichier a été uploadé via la galerie copermine proposée par OVH en module.

Mais comme je dois valider manuellement les fichiers d'abord..., je pense que soit le hacker n'a pas pu localiser le fichier, soit c'était tout simplement un robot (c'est de plus en plus courant) qui a testé les failles et en est resté là. (en fait c'est sûr que c'est un robot qui a fait l'upload)

C'est le 3e fichier infecté uploadé sur la galerie, que je vais donc fermer d'ailleurs pour ne plus avoir de risque...

Mais je voudrais faire un coup de gueule à OVH , qui propose des modules comme gallery2, copermine, phpBB, etc... MAIS seule l'installation auto du site fonctionne, pas d'installation manuelle possible (pour gallery 2 y'a toujours une étape qui passe pas, moi j'ai abandonné) donc IMPOSSIBLE de mettre à jour!!! (donc super dangereux une fois que des failles sont révélées on est vulnerable, surtout les lammers qui sont capables de s'attaquer à n'importe quel site juste histoire de faire un "exploit" qui n'en est pas un...)

De plus les 3/4 des fonctions, donc certaines de sécurité, ne fonctionnent parfois PAS (je parle de gallery2 chez OVH mutu) donc ils feraient mieux de retirer les modules bourrés de failles qu'on ne peux pas mettre à jour au lieu de proposer des portes sans serrures aux clients!

Si je les utilise je protégerai l'accès par un htacces, + éventuellement un contrôle placé dans la source php.

Justement je ne me suis pas fait hacker, les fichiers ont été uploadés mais c'est tout, ce n'est pas allé plus loin,

comme je dois valider manuellement les uploads les hackers n'ont pas pu accéder à leurs fichiers, que j'ai par la suite supprimé...

Tu nous apprends enfin que tu es sur du mutualisé... tu aurais dû commencer par là.

Ce n'est pas parce que tu es chez un des leaders qu'il ne dispose pas de failles dans ses serveurs. Les as-tu prévenus au moins ?

Pas encore puisque je ne sais pas encore si je compte l'utiliser, mais je leur demanderai avant bien sûr!

Ouais tiens... demain j'installe un virus qui va me formater mon HD car j'ai la flemme de faire un "format c:" !!

Il existe bon nombre d'outils de gestion de fichiers en php, inutile d'utiliser ce genre de saloperie.

Cela n'est dangereux QUE lorsqu'une personne qui sait s'en servir pour faire le 'mal' est dessus!

Ce n'est pas comme un virus, puisque tout seul le fichier ne fait rien! (enfin c'est dans le doute que je me trompe sur ce point que je poste ici)

C'est comme n'importe quel outil potentiellement dangereux (un rasoir...) : c'est l'usage qu'on en fait qui fait que c'est une "saloperie" ou pas!

Va donc sur sourceforge.net, tu y trouveras ton bonheur à coup sûr !

Justement, j'ai déjà cherché, et c'est la première fois que je vois un code aussi simple à installer (1 seul fichier à mettre, n'importe ou dans le site), qui fonctionne du 1er coup, et qui est aussi complet!

Je n'ai pas trouvé de meilleur outil jusqu'à maintenant...

PS: je sais que mettre le code ici n'est pas dangereux, mais étant donné le genre de fichier que c'est je préfère une autorisation.

Je pense que OVH a déjà tout sécurisé...

mais oui c'est vrai qu'on peut lancer plein de commandes et autres...

Est-ce sans danger de les utiliser comme outil d'administration (sur internet et non en local)?

Je ne veux pas essayer de pirater le serveur d'OVH, simplement de pouvoir éditer mes pages à distance en gros!

captain_torche : m'autorises-tu à poster le lien ce ces codes ici ou non?

Je ne sais plus quel antivirus avaient les utilisateurs qui sont allé voir les liens...

Moi j'ai AVG et quand je met le fichier texte sur mon ordi il me trouve le trojan (qui porte le nom de la team russe qui l'a faite + backdoor car on peut utiliser des backdoors avec)

Il y a dedans un forumaire de contact de la team donc au pire je peux leur demander, mais je n'ai pas confiance :!:

(et leur site est en russe si ça intéresse qqn...)

L'image contient ces logiciels:

MagicPicture devellopped by securfrog - Version 2.6.6dev the PHPShell is made by the maker - 10/02/2006

-<[{ MagicPicture Main Menu }]>-

==> Haxplorer <== Haxplorer is a server side file browser wich (ab)uses the directory object to list the files and directories stored on a webserver. This handy tools allows you to manage files and directories on a unsecure server with php support.

This entire script is coded for unsecure servers, if your server is secured the script will hide commands or will even return errors to your browser...

==> PHPKonsole <==

PHPKonsole is just a little telnet like shell wich allows you to run commands on the webserver. When you run commands they will run as the webservers UserID. This should work perfectly for managing files, like moving, copying etc. If you're using a linux server, system commands such as ls, mv and cp will be available for you...

This function will only work if the server supports php and the execute commands...

MagicPicture devellopped by securfrog - Version 2.6.6dev the PHPShell is made by the maker - 10/02/2006

Et les fichiers texte : C99Shell v. 1.0 pre-release build #16

aïe avec ça même un débutant peut prendre le contrôle de ton site!

Non ils ont simplement uploadés une image contenant du code php, et deux fichiers textes contenant aussi du php.

(j'utilise la galerie coppermine)

Je pense qu'il doit exister un moyen pour que le serveur interprete le php qui se trouve dans ces fichiers lorsqu'ils sont (mal) incorporés dans la page par coppermine (mais je ne sais pas si ma version de coppermine possede une telle faille ou pas!)

Il ne s'agit pas d'injection SQL...

Cela dit lorsque j'ai donné le lien des fichiers uploadés ( qui ne contiennent que du code php, mais ce code est totalement lisible car les fichiers ne sont pas en .php justement! c'est impossible d'uploader un .php sur mon site) les antivirus ont dit "alert"! (pas le miens, il ne doit pas analyser les pages web)

Mais ce que je demande SURTOUT est un volontaire pour analyser attentivement ces longs codes php!

Car par curiosité j'ai regardé ce qu'ils donnent quand on arrive à les faire interpréter par le serveur (simplement en faisant moi même un fichier .php avec leur code) et là... quelle surprise! Administration totale de mon site! (et même plus mais n'étant pas hacker je ne comprends pas tout) Je voudrais donc l'utiliser pour la gestion en ligne de mon site, en protegent le fichier mar un mot de passe... à condition que je sois sûr qu'ils n'envoient pas des infos sur le site automatiquement!

es-tu sûr déjà que ton hébergeur autorise la fonction mail() ?

Super intéressant!

Si je pouvais remplacer toutes mes frames de mon site comme ça ça simplifierais tout!

Mais je crois que pour ce coup ci je n'aurai pas le temps (de refaire tout le site), mais je penserai à appliquer ça pour mon prochain site!