Commentaires sur : Petit retour sur php https://didiode.fr/wp/2011/03/petit-retour-sur-php/ Internet & Outils, Paris-Diderot Thu, 20 Feb 2025 09:37:38 +0000 hourly 1 http://wordpress.org/?v=3.0.5 Par : Christophe https://didiode.fr/wp/2011/03/petit-retour-sur-php/#comment-622 Christophe Thu, 21 Apr 2011 11:57:09 +0000 http://didiode.fr/wp/?p=208#comment-622 Dans <a href="http://didiode.fr/wp/2011/04/concours-de-hack/#comment-619" title="commentaire" rel="nofollow">un commentaire</a> sur l'article <a href="http://didiode.fr/wp/2011/04/concours-de-hack/" title="Concours de hack (des points de CC à gagner)" rel="nofollow">Concours de hack</a>, Thomas explore la direction ouverte par Elisabeth. Mais ce qu'il suggère n'est manifestement pas l'usage qu'on souhaite autoriser dans cet exemple, donc la faille n'est encore que partiellement corrigée : on veut justement interdire la possibilité que le site affiche autre chose que ce qui est susceptible d'être envoyé par le page html contenant le formulaire. Dans un commentaire sur l’article Concours de hack, Thomas explore la direction ouverte par Elisabeth.

Mais ce qu’il suggère n’est manifestement pas l’usage qu’on souhaite autoriser dans cet exemple, donc la faille n’est encore que partiellement corrigée : on veut justement interdire la possibilité que le site affiche autre chose que ce qui est susceptible d’être envoyé par le page html contenant le formulaire.

]]> Par : Christophe https://didiode.fr/wp/2011/03/petit-retour-sur-php/#comment-615 Christophe Mon, 18 Apr 2011 12:33:30 +0000 http://didiode.fr/wp/?p=208#comment-615 bon début :) Mais il faut aller plus loin... bon début :)
Mais il faut aller plus loin…

]]> Par : Elisabeth Abbas Zadeh https://didiode.fr/wp/2011/03/petit-retour-sur-php/#comment-613 Elisabeth Abbas Zadeh Sun, 17 Apr 2011 02:50:16 +0000 http://didiode.fr/wp/?p=208#comment-613 Puisque c'est facile, je me lance... Il y a une faille XSS, il faut traiter l'information reçue par $_REQUEST, par exemple dans la fonction liste_plats() : au lieu de : <code>$res .= "$plat\n";</code> il faudrait avoir : <code>$res .= "" . htmlspecialchars($plat) . "\n";</code> Voilà ! Bon... j'ai combien de points en plus ? J'en mérite au moins 5 de plus, n'est-ce pas? Puisque c’est facile, je me lance…
Il y a une faille XSS, il faut traiter l’information reçue par $_REQUEST, par exemple dans la fonction liste_plats() :
au lieu de : $res .= "$plat\n";
il faudrait avoir : $res .= "" . htmlspecialchars($plat) . "\n";
Voilà ! Bon… j’ai combien de points en plus ? J’en mérite au moins 5 de plus, n’est-ce pas?

]]> Par : Baptiste F https://didiode.fr/wp/2011/03/petit-retour-sur-php/#comment-610 Baptiste F Fri, 15 Apr 2011 12:04:11 +0000 http://didiode.fr/wp/?p=208#comment-610 Cet article est concerné par le <a href="http://didiode.fr/wp/2011/04/concours-de-hack/" rel="nofollow">concours de hack</a>... (c'est facile) Cet article est concerné par le concours de hack… (c’est facile)

]]>