Gérez votre site :

52 704 Webmasters - 775 394 Membres INSCRIPTION - Mot de passe oublié ?
Home Page
News
Inscription
Forums
Aide
Partenaires

Discussion du forum

 News

Vous êtes sur la discussion balises HTML accépté dans le php

Forum :: Rapporter un bug :: Discussion
Ouvert balises HTML accépté dans le php
de sasorie (poissonbourg - créé le 17 juin 2012 à 9h 59
17 reponses - 380 vues
modifié il y a 12 ans
Bonjour, ayant fait quelques test sur "mon site" , j'ai remarquée que si quelqu'un s’appelait <h1>test</h1> la balise <h1> faisais sont effet, donc à chaque fois que la variable $pseudo est utilisé cet a dire "<?php echo $_POST['prenom']; ?>" devra être remplacée par "<?php echo htmlspecialchars($_POST['prenom']); ?>".Smiley
Voici les réponses de cette discussion : (page 1/1)

le 17 juin 2012 à 10h 07 (il y a 12 ans)
En ligne sasorie (poissonbourg
screen : http://bildberg.eu/QRD083X9.png
le 17 juin 2012 à 10h 13 (il y a 12 ans)
En ligne sasorie (poissonbourg
erreur, pardon c'est la variable prenom (pas $pseudo et pas $prenom)
le 17 juin 2012 à 10h 50 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
C'est normal !!
A cet endroit, ça marchera forcément, tu connais a prioris le php, réflechis donc à la manière dont est codé webidev e tu verra que c'est normal ! ;)
Si tu regarde en haut de ton screen, tu verra bien "<h1>Test</h1>" ;)
le 17 juin 2012 à 10h 59 (il y a 12 ans)
En ligne sasorie (poissonbourg
Ok !
le 17 juin 2012 à 11h 08 (il y a 12 ans)
En ligne sasorie (poissonbourg
Mais si jamais <script>alert('BADABOUM !!')</script> .....
le 17 juin 2012 à 12h 08 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
C'est vrai .. Tu as essayé ?
le 17 juin 2012 à 12h 17 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
Oui ça marche. Je vais essayer une faille sql.
le 17 juin 2012 à 14h 43 (il y a 12 ans)
En ligne Seechi (thunder-stone
Ha ha un vrai pro dis moi :)

Plus sérieusement, il n'y a rien à tirer de cette "faille", à part être trolol de faire un alert, étant donné que le pseudo est limité à 30 caractères, il est impossible de l'exploiter.

Testé et approuvé
le 17 juin 2012 à 15h 01 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
Mais voilà, onf ait une alerte de trois lettres, c'est tout, ça gêne le bonhomme qui a ce compte, et ca le ralenti, tant pis pour lui ^^
le 19 juin 2012 à 23h 39 (il y a 12 ans)
En ligne Compte supprimé (webidev-deleted
Contenu supprime sur demande.
le 20 juin 2012 à 19h 14 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
Bah fais le ^^ ;) Va sur le SDZ ;)
le 28 juin 2012 à 19h 24 (il y a 12 ans)
En ligne Compte supprimé (webidev-deleted
Contenu supprime sur demande.
le 30 juin 2012 à 8h 31 (il y a 12 ans)
En ligne sasorie (poissonbourg
Omg les pros x)
Je veux apprendre le PHP moi ! :( >>>>> Site du zéro ( ;
le 30 juin 2012 à 10h 38 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
Si, on peut faire plus que 30 caractères Seechi au fait :P

Oui Sasorie, mais avant le PHP --> HTML ;)
le 30 juin 2012 à 14h 32 (il y a 12 ans)
En ligne Antho06 (fourmis-land
Ce alexis... Quel bon codeur =D
le 2 juil 2012 à 15h 59 (il y a 12 ans)
En ligne Seechi (thunder-stone
Ah bon ? Je demande à voir :)

Pseudo : 1234567890123456789012345678901 = 31 caractères
"Le pseudo ne peut pas faire plus de 30 charactères."

Suffit pas de retirer un maxlength pour être un hackeur, les codeurs savent quand même sécuriser un code hein :)
le 2 juil 2012 à 18h 43 (il y a 12 ans)
En ligne *→ Mเรtєгคlєא ←* (aventureworld
J'avais mal compté mon truc x)
Lol j'en avais mis 30 j'ai compté 31 ^^
Poster un message
Veuillez vous connecter pour poster sur le forum.
Webidev | v2.10.0 | © Webidev 2007 - 2024 | Contact