Accueil > Forum > > > > Sécurité Formulaire php. Dangereux ou pas?
 Sécurité Formulaire php. Dangereux ou pas?
mercredi 7 décembre 2011 à 10:38:40 |
Sécurité Formulaire php. Dangereux ou pas?
KcHeY
|
Bonjour all,
J'ai entendu parler de faille(s) php et j'aurai souhaiter savoir si j'était concerné.
J'ai un formulaire et un bouton (sur une page html) qui envoi les données sur une page php pour ensuite les écrire sur un fichier .txt
Sachant que la destination des données est un fichier .txt, je ne risque rien au sujet de l'injection de code malveillant via mon formulaire n'est-ce pas ?
C'est juste cela que je souhaiterai savoir.
Merci d'avance. |
|
mercredi 7 décembre 2011 à 10:56:24 |
Re : Sécurité Formulaire php. Dangereux ou pas?
cod57
|
bonjour
il faudrait voir le code
si c'est un livre d'or tu as des chances, souvent ceux sont des robots qui le font ...
le captcha, le token, ou des fonctions strip_tags(),htmlentities()
 Bonne programmation !
|
|
mercredi 7 décembre 2011 à 11:00:07 |
Re : Sécurité Formulaire php. Dangereux ou pas?
KcHeY
|
Bonjour et merci pour ta réponse.
Ben en fait je vérifie rien c'est un code on ne peux plus simple :
Code PHP :
<?php
$message = utf8_decode($_POST['message']);
$data= $message.'';
$fp = fopen('1.txt',"w");
fputs($fp,$data."\r\n");
fclose($fp);
?>
En fait je pilote ça depuis un programme VB.
J'envoi des textbox dans les variables et ça c'ecrit sur la page. |
|
mercredi 7 décembre 2011 à 11:01:55 |
Re : Sécurité Formulaire php. Dangereux ou pas?
KcHeY
|
et le fichier html c'est ça :
Code HTML :
<form method="post" action="PAGE.php">
<br />
<textarea name="message" cols="12"></textarea>
<input name="submit" type="submit" id="submit" value="OK" />
</form>
|
|
mercredi 7 décembre 2011 à 11:22:46 |
Re : Sécurité Formulaire php. Dangereux ou pas?
TychoBrahe
|
Salut,
cod57 a montré certains risque tout à fait justifier :
Tout d'abord l'abscence de captchas, à cause de ça n'importe quel bot peux remplir ton fichier en boucle. Imagine l'état de ton fichier si un bot écrit dedans en permanence, 24h/24, 7j/7. Bref, met donc un captcha.
Ensuite, le problème que va soulever l'utilisation de ce fichier. En fonction de son utilisation, certains contenus peuvent être dangereux. Par exemple, si son but est d'être affiché dans une page web, alors il y a risque de cross-site scripting et tu devrais donc filtrer le contenu avec les fonction que cod57 t'a passé. Soit dit en passant, si le but est d'être lu par un humain, tu peux également filtrer les caractères non imprimables et autres choses du genre. |
|
mercredi 7 décembre 2011 à 11:23:15 |
Re : Sécurité Formulaire php. Dangereux ou pas?
cod57
|
qui utilise ce form
juste toi ou tous les visiteurs ?
est ce publique ou privé ?
un captcha (contre les bots) et strip_tags devrait faire l'affaire
voir strlen() pour pas te faire poster un roman et trim ... mais le plus sur c'est protégé la page du form par un login et password et la page du traitement par un token, c'est à dire que la page de traitement reçoit un code unique du form
pour éviter que ton form soit recopier de l'exterieur du site et que le post soit unique ...
Bonne programmation ! |
|
mercredi 7 décembre 2011 à 11:38:35 |
Re : Sécurité Formulaire php. Dangereux ou pas?
KcHeY
|
Bien le bonjour et merci pour votre réponse,
Je sais pas si vous avez remarqué, mais a chaque fois que jecris dans ce fichier txt (qui est effectivement heberger sur le net sur page non protégé)
j'écrase ce qu'il y a dedans, donc un BOT ne pourrai deja pas le remplir.
Par contre en effet il pourrai envoyer des messages à répétitions pour saturé ma bande passante ou je ne sais quoi.
Je viens de regarder la définition du cross site-scripting et j'ai donc essayer de mettre ça dans mon formulaire :
<script type="text/javascript">alert('bonjour')</script>
ça n'as rien fait.
Je suis le seul à utiliser ce formulaire, mais je prévois d'y faire intervenir quelqu'un d'autre.
Je vous explique ce prog que je programme par plaisir et pour apprendre.
Donc :
j'ai deux .exe :
-le premier verife toute les secondes la contenance du fichier .txt
Il detecte la premiere ligne, celon ce qui est ecris il effectue une action différente, par exemple : ligne 1 = msgbox / il ouvre il msgbox avec ecris ce qu'il y a sur le fichier txt sauf la premiere ligne
-le deuxieme programme, envoi donc les données sur la page avec le formulaire et donc sa ecris sur le fichier txt.
Du coup avec ce programme, je controle le premier programme.
Donc le soucis du CAPTCHA est que je peux pas m'amuser à le retaper à chaque action, surtout que la page avec le formulaire est .Hide()
Je m'en sert aussi a faire un mini tchat.
En gros au final sa peut servir de client/serveur quand on sais à quel mot réagis le programme.
|
|
mercredi 7 décembre 2011 à 11:39:52 |
Re : Sécurité Formulaire php. Dangereux ou pas?
KcHeY
|
Je voulais dire aussi, je pourrai protéger par .htaccess mais mon programme ne pourrai plus communiquer avec ces pages.
|
|
Cette discussion est classée dans : page, php, formulaire, sécurité, dangereux
 Répondre à ce message
 Sujets en rapport avec ce message
2 formulaire en conflit [ par scromania ]
bonjour, Voila dans la cas ou l'utilisateur et de niveau =9 alors une page (include)et en plus. [code=php]if ($visiteur == 9){ include("modules/Page
téléchargement de fichier de puis serveur [ par nouvinfo ]
Bonjour, Je suis un novice. voici ce que je fais: J'ai crée un formulaire dans une page.php ('formulaire_entrer_donnee.php'). Ce formulaire permet d
Mon formulaire ne s'affiche pas dans ma page php [ par brfrance ]
Bonjour, Bonjour, Mon formulaire html (voir ci dessous) ne s'affiche pas dans ma page php. formulaire :[code=html] " name="commentaire">
plusieurs submit dans un seul formulaire [ par smahaneAAI ]
Salut tout l monde!! j'ai crée un formulaire qui poste à une seule page .php . dans mon formulaire j'ai 4 bouton normalement : 1=>affichage 2=>modific
PHP 4.2.3 sous Linux [ par JosueClement ]
Bonjour à tous...Je viens de réinstaller mon PC sous linux et j'ai installé apache et PHP 4.2.3maintenant j'ai un problème avec les formulaires:// Pag
recorset sous dream mx [ par sbailay ]
salut je debute en PHP et je rame à max pour faire un recordset un peu particulier:sur la premiere page "recherche.php" j'ai un formulaire "form_reche
formulaire [ par LeoLS ]
Bonjour ,Voilà j'ai un problème ...Je voudrais faire via l'admin un formulaire sur la page formulaire_demon.php et que cela s'écrit sur une page du st
Pour les formulaires php... [ par railyandtiti ]
Je sais désormais créer un formulaire en php, mais y a un ptit truc ki me manke :J'aimerais faire un formulaire ki tiendrait sur 2 ou 3 pages. Il faut
prob d'E/S avec un formulaire html [ par shedskin ]
voila j ai cree une premiere page html qui contient un formulaire chaine de caractere: <
Gestion formulaire history.go(-1) avec conservation de variables [ par apz ]
----------------------------------------------------------------------Salut,config.php :define('ERRT','<Table Border=1 CellSpacing=0 CellPadding=4 bor
 Livres en rapport
|
Derniers Blogs
 ROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGEROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGE par Matthieu MEZIL
Si vous utilisez Roslyn et que vous vous voulez vous simplifier le code du code rewriter, je vous conseille d'installer mon NuGet package RoslynHelper ....(read more) ...
Cliquez pour lire la suite de l'article par Matthieu MEZIL POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|