Ce script est sécurisé ?

J'ai un script qu'un membre m'a écrit (merci à lui encore) mais je doute qu'il soit bien sécurisé.

Voici le script : (page out.php)

<?php
$page_a_visiter = '';
if(isset($_GET['p']))
{
$page_a_visiter = (string)$_GET['id'];
echo '<html>
<head>
<title>Mon titre</title>
</head>
<frameset rows="70,*" frameborder="no" border="0" framespacing="0">
  <frame src="out.htm" noresize>
  <frame src="'. $page_a_visiter .'">
  <noframes>
      <p>Cette page sous forme d\'ensemble de frames contient:</p>
      <ul>
         <li><a href="monbandeau.htm">description du bandeau</a></li>
         <li><A href="'. $page_a_visiter .'">description de la page à visiter</a></li>
      </ul>
  </noframes>
</frameset>
</html>';

}
else
{
  /* si aucun paramètre, on annule l'action. */
    die('Aucune page à visiter !');
}
?>

Je voudrais juste savoir si c'était dangereux de mettre ce script.
Moi je m'en sers pour qu'il y ait une frame en haut (avec un lien vers mon site) et le site à visiter. (ça sera sous forme : http://monsite.com/out.php?id=http://phpcs.com)

J'ai lu qu'on pouvait faire des choses qui étaient pas forcément autorisées mais ce qui m'importe, c'est que le mot de passe de mon site ne soit pas volé.

Quel est l'avis des pros ?

Salut,

non c'est pas vraiment sécurisé.

Pour ce qui est du code je vois pas ce que je viens faire le $page_a_visiter = (string)$_GET['id']; ou alors le if(isset($_GET['p']))

bon bref voici ce que je mettrais si j'étais toi :

$fichier=$_GET['id'].'.php';
if(isset($_GET['id'])) AND file_exists())
{
    echo 'blabla ',$fichier;
}

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

Merci. Je teste tout ça.

J'ai remplacé ce que tu m'as dit : ça donne ça.

<?php
$fichier=$_GET['id'].'.php';
if(isset($_GET['id'])) AND file_exists())
{
    echo'<html>
<head>
<title>Mon titre</title>
</head>
<frameset rows="70,*" frameborder="no" border="0" framespacing="0">
  <frame src="out.htm" noresize>
  <frame src="'. $page_a_visiter .'">
  <noframes>
      <p>Cette page sous forme d\'ensemble de frames contient:</p>
      <ul>
         <li><a href="monbandeau.htm">description du bandeau</a></li>
         <li><A href="'. $page_a_visiter .'">description de la page à visiter</a></li>
      </ul>
  </noframes>
</frameset>
</html>',$fichier;
?>

Il me met ça :
Parse error: parse error, unexpected T_LOGICAL_AND in /var/www/free.fr/5/3****/out.php on line 3

En fait, je voulais faire comme google. Quand on clique sur un lien, il y'a un frame qui s'affiche, en haut c'est une page de mon site, et en bas la page du site. La page du site, c'est ce qu'il y a apres le id.
Par exemple : http://monsite.com/id=http://phpcs.com

Et la y'a une frame en haut + le site phpcs en bas. Tu comprends ?

putain quelle connerie j'ai faite... bon je corrige tout ça

donc

if(isset($_GET['id'])) AND file_exists($fichier=$_GET['id'].'.php';))
{
    echo 'blabla ',$fichier;
}

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

Hello,

ton AND est en dehors de ton if ().

roooh décidément...
if(isset($_GET['id']) AND file_exists($fichier=$_GET['id'].'.php'))
{
    echo 'blabla ',$fichier;
}

et j'avais foutu un point virgule dedans... optic 2000

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

Ouais, mais tu te couches tard et tu te lève trop tôt Antho !
C'est normal après ... ;)

heu couché 1h30 levé 10h je crois, ça va je trouve ^^

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

Sael og blesud

J'aime beaucoup : " heu couché 1h30 levé 10h je crois " Il n'est que 10h21 enfin 12h21 et vous avez déjà oublié ... ^^

Bon courage ...

NB : Si la réponse vous convient merci de l'accepter pour fermer ce thread ...

Sigurjón Bírgir Sigurðssón aka Sjón