Ben, apparemment, non puisque tu envoies "pseudo" en paramètre POST à ton URI, donc ce n'est pas le pseudo de la session que cette URI récupère.
Le principe général est simple: n'importe quelle entrée peut contenir n'importe quoi.
Donc, dans ton cas, ton $('#pseudo').val() peut renvoyer n'importe quoi, et pseudo est donc une chaîne de texte quelconque. Si tu la concatène à une URI ou à des paramètres d'URI (comme ton 'pseudo=' + pseudo + '&message=...'), alors la machine n'aura aucun moyen de savoir que tu veux faire "pseudo={la valeur de pseudo}&message={la valeur du message}". Elle verra seulement 'pseudo=gnagna&message=lalala' et elle l'interprètera ensuite comme une URI. Si le pseudo du joueur est "&pseudo=", alors ta chaîne concaténée sera pseudo=&pseudo=&message=lala. Le serveur interprétera donc cela comme un message venant d'un joueur sans pseudo...
De même, n'importe qui peut faire une requête à ta page "game/core/ajax/envoi_tchat.php" en envoyant un pseudo et un message quelconque (tu peux le faire avec cURL par exemple, que ce soit dans PHP ou dans cygwin/bash).
Un peu de lecture:
http://toile.reinom.com/regle-anti-injection/
http://toile.reinom.com/connaitre-lorigi...injection/
http://toile.reinom.com/tag/securite/
PS:
Ah oui, quand même... C'est volontaire?
Un autre petit guide sur les fichiers PHP privés/publics
Le principe général est simple: n'importe quelle entrée peut contenir n'importe quoi.
Donc, dans ton cas, ton $('#pseudo').val() peut renvoyer n'importe quoi, et pseudo est donc une chaîne de texte quelconque. Si tu la concatène à une URI ou à des paramètres d'URI (comme ton 'pseudo=' + pseudo + '&message=...'), alors la machine n'aura aucun moyen de savoir que tu veux faire "pseudo={la valeur de pseudo}&message={la valeur du message}". Elle verra seulement 'pseudo=gnagna&message=lalala' et elle l'interprètera ensuite comme une URI. Si le pseudo du joueur est "&pseudo=", alors ta chaîne concaténée sera pseudo=&pseudo=&message=lala. Le serveur interprétera donc cela comme un message venant d'un joueur sans pseudo...
De même, n'importe qui peut faire une requête à ta page "game/core/ajax/envoi_tchat.php" en envoyant un pseudo et un message quelconque (tu peux le faire avec cURL par exemple, que ce soit dans PHP ou dans cygwin/bash).
Un peu de lecture:
http://toile.reinom.com/regle-anti-injection/
http://toile.reinom.com/connaitre-lorigi...injection/
http://toile.reinom.com/tag/securite/
PS:
Ah oui, quand même... C'est volontaire?
Un autre petit guide sur les fichiers PHP privés/publics