27-10-2012, 10:48 AM
(Modification du message : 27-10-2012, 10:49 AM par Sephi-Chan.)
Tu ne devrais pas trop te préoccuper de ces failles (je pense que tu parles de XSS), sinon tu vas faire comme les débutants, mettre des sécurités (ou plutôt ce que tu crois être des sécurités) foireuses à tort et à travers.
Pour t'expliquer quand même cette faille de XSS, ça implique d'injecter du code HTML malveillant dans une page d'un site (par exemple, dans une réponse d'un forum). Ainsi, chaque utilisateur du forum qui affichera ce message exécutera ce bout de code. L'idée étant ensuite de mettre dans ce bout de code HTML injecté du Javascript qui va par exemple transmettre les cookies du navigateur à un site pirate, qui pourra parfois usurper ces cookies pour se faire passer pour toi (un vol de session).
Pour s'en prémunir, il suffit d'empêcher d'afficher du HTML d'être affiché. Cela se fait à l'affichage de chaîne de caractères fournies par les utilisateurs (issues d'une base de données, par exemple) susceptible de contenir du HTML. Il suffit d'afficher cela avec la fonction
Ou bien parlais-tu de failles CSRF, auquel cas Xenos t'a répondu (mais en entretenant la confusion sur les noms). ^^
Pour t'expliquer quand même cette faille de XSS, ça implique d'injecter du code HTML malveillant dans une page d'un site (par exemple, dans une réponse d'un forum). Ainsi, chaque utilisateur du forum qui affichera ce message exécutera ce bout de code. L'idée étant ensuite de mettre dans ce bout de code HTML injecté du Javascript qui va par exemple transmettre les cookies du navigateur à un site pirate, qui pourra parfois usurper ces cookies pour se faire passer pour toi (un vol de session).
Pour s'en prémunir, il suffit d'empêcher d'afficher du HTML d'être affiché. Cela se fait à l'affichage de chaîne de caractères fournies par les utilisateurs (issues d'une base de données, par exemple) susceptible de contenir du HTML. Il suffit d'afficher cela avec la fonction
strip_tags.Ou bien parlais-tu de failles CSRF, auquel cas Xenos t'a répondu (mais en entretenant la confusion sur les noms). ^^