cyberlaura

Bonjour,

pour sécuriser un formulaire, il faut se poser la question suivante : que pourrait mettre un malfaisant dans une variable de type POST ou GET qui pourrait poser problème.

Par exemple, la "faille" la plus connue de php est l'utilisation d'une variable pour faire un include, de type

include($_GET['moninclude']);

. Il suffit dans ce cas à un pirate de mettre le fichier qu'il lui plaira d'inclure dans la valeur de la variable.

Dans le cas de ton code, le seul risque que je verrais serai qu'on t'envoie des headers supplémentaires, et c'est là dessus que tu pourrais améliorer le code.

Je te met un lien sur le premier article que j'ai trouvé sur le sujet ( en anglais ) : Email header injection

Bonjour,

je te confirme bien que tout est normal : Google commence par afficher ta propre fiche, puis il ajoute en dessous les premiers résultats du Web pour Dip Bretagne, et il fait ça pour tout le monde. Et pour Dip bretagne, les premiers résultats sont, ce qui inclut hotfrog car ils parlent de ton site.

Bonjour,

il ne s'agit pas de piratage : google affiche en dessous les autres résultats sur le web qui correspondent à ta recherche "Dip Bretagne". Et parmi ces résultats se trouve www.hotfrog.fr/Produits/Materiel/4 car ils te citent. Rien que de très normal.

Ah non, le programme en php doit être le même qu'en javascript : il va juste appeler une URL sur ton serveur qui lui renverra uniquement la réponse de type oui/non

Et bien, si ça ne peut pas passer en javascript, il faut le faire coté serveur, en php par exemple. Il n'a pas cette limitation en tout cas. Cela suppose un Submit et de fournir le code php qui va effectuer l'appel à verifserial.php.

Aie : j'ai lu plusieurs messages comme quoi XMLHttpRequest ne pourrait pas appeler des URL externes au domaine en cours. Question de sécurité semble t-il ...

Il me semble que sur la ligne

else if(texte = file('verifserial.php?serial='+escape(serial)))

tu devrais mettre

else if(texte = file('http://www.serialscan.com/verifserial.php?serial='+escape(serial)))

car tu n'es pas sur le serveur de serialscan au moment où tu l'appelles...

Bonjour,

difficile à dire sans voir le code, mais ceci ressemble à un oubli de http:// devant www.serialscan.com

Bonjour Olitax,

je ne sais pas si c'est "bourrin", à mon avis le eval est comme un include, mais sans fichier texte, tout en mémoire. D'ailleurs, tu pourrais aussi construire un fichier php de manière dynamique, et l'includer une fois sauvegardé :

$CodePhp='echo $titre;
include ($url);
';
file_put_contents('a_inclure.php',$CodePhp);
include('a_inclure.php');

Par contre, je ne suis pas sur de comprendre ta seconde question : si tu veux faire plusieurs includes, il suffit à mon avis de les mettre à la suite :

$CodePhp='echo $titre;
include ($url);
';
$titre="Autre titre"
$url="http://www.autre-url.com";
$CodePhp.='echo $titre;
include ($url);
';
eval($CodePhp);

Bonjour,

une autre hypothèse, je parle d'expérience, est qu'il peut y avoir des lignes vides avant le <?php du fichier lui-même ou des fichiers inclus (bdd.php, fonction.inc.php, ...), voire après le ?>, ce qui les inclurais dans ton XML

Oups ! Si c'est pour un client alors, j'ai rien dit ! Au contraire, c'est clair qu'il faut faire comme ça

Merci pour la précision TheRec, et ta solution est très bien. Juste une remarque malgré tout : il parait qu'il n'est plus trop à la mode de faire des rewriting à tout va, d'autant plus sur des résultats de formulaires pour lesquels les URL seront encore pire rewritées que pas... Mais c'est juste mon point de vue.

Bonjour Tribords,

la seule solution que je verrais serait de passer par javascript, avec un code du style

document.forms['monformulaire'].action = "mon url formatée"

appelé au moment du submit. Mais ça a le gros inconvénient de ne fonctionner que si javascript est activé.

Maintenant, l'intérêt des rewriting est pour faire semblant devant les moteurs. Que je sache, les moteurs ne valident pas encore les formulaires ?? Donc je ne comprend pas pour quelle raison tu voudrais faire ça...

Bonjour,

tu peux t'en sortir avec mysql grâce à la fonction : CASE WHEN THEN.

Exemple :

SELECT CASE marubrique WHEN 1 THEN 'un peu' WHEN 2 THEN 'beaucoup' WHEN 3 THEN 'rien du tout' END

Bonjour,

comme ça, vite réfléchi, je penserais à la fonction eval, avec un code du style :

$CodePhp='echo $titre;
include ($url);
';
eval(php);

Comme ça, tu ne serais plus dans la procédure...

Bonjour,

sans doute ta date n'est-elle pas au bon format, à savoir AAAA-MM-JJ pour mysql...

Flute, grillée j'ai été ! Mais par Captain_torche, c'est logique !

Bonjour Caaaaarlito (j'espère ne pas avoir mis trop de "a" ),

très difficile de résoudre ton problème à distance, mais à première vue, sachant que seul ton ordinateur a bougé entre le moment où ça fonctionnait et le moment où ça ne marche plus, je pencherais donc plutôt pour un problème d'installation - de driver donc, qui n'est peut-être pas à jour ou pas compatible avec le (nouvel ? ) OS que tu as installé. Essaye donc de chercher un driver récent sur le net, si jamais il existe... ( ici par exemple pour vista )

Bonjour,

la première chose que je ferais serait de corriger les erreurs de syntaxe, et il y en a quelques une sur cette page. Cela pourrait peut-être même suffire... ( erreurs trouvées avec HTML Validator )

Result: 0 erreurs / 19 avertissements

line 54 column 3 - Avertissement: <embed> is not approved by W3C

line 138 column 10 - Avertissement: missing </a> before <a>

line 141 column 5 - Avertissement: discarding unexpected </a>

line 150 column 10 - Avertissement: missing </a> before <a>

line 153 column 5 - Avertissement: discarding unexpected </a>

line 158 column 49 - Avertissement: unescaped & which should be written as &

line 164 column 269 - Avertissement: inserting implicit <p>

line 169 column 270 - Avertissement: inserting implicit <p>

line 177 column 271 - Avertissement: inserting implicit <p>

line 182 column 270 - Avertissement: inserting implicit <p>

line 51 column 1 - Avertissement: missing </div>

line 113 column 4 - Avertissement: <a> attribute "href" lacks value

line 138 column 113 - Avertissement: <img> attribute "src" lacks value

line 150 column 106 - Avertissement: <img> attribute "src" lacks value

line 112 column 4 - Avertissement: trimming empty <p>

line 164 column 269 - Avertissement: trimming empty <p>

line 169 column 270 - Avertissement: trimming empty <p>

line 177 column 271 - Avertissement: trimming empty <p>

line 182 column 270 - Avertissement: trimming empty <p>

Info: Doctype given is "-//W3C//DTD XHTML 1.0 Transitional//EN"

Info: Document content looks like HTML Proprietary

Toujours en tant que spécialiste , n'est-il pas possible que le module MailSender ne soit pas présent sur le serveur, ce qui expliquerait l'erreur ?

Idem pour moi, je ne connaissais pas du tout SQL_CALC_FOUND_ROWS, cela va un tout petit peu réduire la charge de Mysql. Merci pour l'info et bravo pour l'article .

Bonjour,

je n'y connais rien du tout mais d'après Google qui sait tout, il faut mettre un S majuscule à Persits.MailSender...

Oui, je comprends mieux le problème. A ce moment là, ne peut-tu pas créer un simple fichier de test qui ne contienne que la ligne session_start(); que tu mettras dans le back afin de voir si le cookie est créé ? Et s'il te renvoie un SID.

Et bien, d'après la doc, dans le php.ini, tu dois avoir session.use_cookies=1 , s'il est à zéro, pas de cookies, et plusieurs autres options, telle que session.cookie_domain ....

Bonjour,

en créant un cookie, il faut spécifier un domaine. Il devrait donc y avoir un test selon le serveur pour spécifier le domaine sur lequel le cookie va se créer. Non ?