Bonjour, en faisant tu fera une redirection n'importe où, si la personne saisie https://www.google.fr, tu vas lui faire une redirection vers https://www.google.fr/valid.php?respond=done.
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
Bonjour, en faisant tu fera une redirection n'importe où, si la personne saisie https://www.google.fr, tu vas lui faire une redirection vers https://www.google.fr/valid.php?respond=done.
Oui, c'est exactement ce que je veux, mais est-ce que c'est possible une faille xss ou quelque chose de ce type pour s'attaquer à mon serveur? mon site est codée en PDO du coup j'aimerai savoir si il y a des choses à rajouter ou bien si c'est niquel?
Du moment que tu fais en premier lieu une vérification des données transmises que ce soit en GET ou en POST, avant de les injecter en base de données, avec les requêtes préparées en plus, tu ne devrais pas avoir de problème.
- Edité par Lartak 18 mai 2019 à 0:43:32
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
Du moment que tu fais en premier lieu une vérification des données transmises que ce soit en GET ou en POST, avant de les injecter en base de données, avec les requêtes préparées en plus, tu ne devrais pas avoir de problème.
- Edité par Lartak il y a 3 minutes
je pensais à ça: le potentiel hackeur ecris comme get:
https://google.com/"); //requete de son choix et die()
Que ce soit en GET ou en POST, ce ne sont que des chaînes de caractères, donc leurs contenu ne va pas exécuter du code PHP tout seul.
Donc même s'il saisie par exemple die(); ce ne sera pas interprété comme du code PHP.
Et puis concernant une redirection, tu ne dois pas faire une redirection avec la valeur d'un paramètre GET ou POST, soit par des données fournis par l'utilisateur.
- Edité par Lartak 18 mai 2019 à 1:02:41
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
C'est théoriquement une faille. En pratique, peut être moins exploitable impliquant $_POST.
Si tu veux la sécuriser, un coup de parse_url par exemple pour vérifier que c'est une URL valide (pas du JS) et que tu rediriges bien sur ton propre domaine (=> c'est le but recherché apparemment). A moins de la signer ("chiffrement" + hashage + éventuellement timestamp).
> Je te conseil de regarder la faille include
Je ne vois pas le lien car contrairement à une faille à l'include, avec une redirection HTTP, tu n'as accès qu'à ce qui est accessible en HTTP (donc par le client) - serveurs (et éventuellement protocole différent) extérieurs compris.
en fait d’un site externe on envoie un GET à mon site qui verifie l’url envoyer par le GET et qui redirige vers le site externe qui l’a envoyer avec la reponse donc je dois juste verifier que sa n’influe pas à mon serveur
en fait d’un site externe on envoie un GET à mon site qui verifie l’url envoyer par le GET et qui redirige vers le site externe qui l’a envoyer avec la reponse donc je dois juste verifier que sa n’influe pas à mon serveur
bonjour
tu parles d'un GET mais dans ton code c'est un $_POST ,incohérence total.par rapport a l'influence sur ton serveur faut juste vérifier que url est valide comme a di julp car ne jamais fais confiance aux données envoyer par l'utilisateur.
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
Face a quelqu'un pour qui l'on n'éprouve que de l'aversion et du mépris, les yeux d'un homme deviennent extrêmement froids et cruels.
My website : Mon serveur discord, Se demerder tout seul, Faille XSS et SQL
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli