29-08-2006, 08:17 PM
http://jeuphp.forumactif.com/viewtopic.forum?t=2125
Cela pourra sans doute t'aider mais je pense que plusieurs avertissements sont à prendre au sérieux : Citation :L'utilisation des frames de cette façon est plutôt contre-productif : Pour moi le plus simple est : - de contrôller soigneusement les données transmises par $_GET. Il est facile en php de savoir si les chiffres sont normaux; - d'éviter la transmission via cette variable de données essentielles et de lui préferez les $_POST, l'inscription dans un fichier ou l'inscription dans une base de donnée... Bonne continuation !
29-08-2006, 09:02 PM
Toujours garder en tête qu'il ne faut pas faire confiance au visiteur. $_GET c'est un cadeau ! ^^
29-08-2006, 09:10 PM
Isenduil > n'y a t'il pas moyen de juste retirer le "?relaxer=1" ?
Que l'adresse soit http://monsite.com/aegis/admin/prison.php ne me gene pas le moins du monde. Dämen> Une autre idée pour faire l'equivalence ? Merci de vos reponses dans tout les cas
29-08-2006, 10:50 PM
Une solution serait de le faire par $_POST ^^
C'est tout aussi attaquable bien que moins accéssible par la plupart des mortelles. Le pire des joueurs sera celui qui crée aussi un jeu et cherche les trucs
30-08-2006, 12:49 AM
Citation :Isenduil > n'y a t'il pas moyen de juste retirer le "?relaxer=1" ? Je ne serais pas te répondre, j'avais juste en tête cet ancien sujet mais je n'ai aucune connaissance particulière et n'ai jamais approfondi la chose. Personellement, j'use autant que possible des bases de données et j'évite le transfert par $_GET sauf par exemple pour un script de messagerie ou contrôller la permission de l'accès du visiteur est relativement simple... Après cela, difficile de réellement te donner une alternative sans connaître ton script, du moins pour moi... Bonne chance
30-08-2006, 08:04 PM
Je ne sais pas si je saisi bien les raisons de ta question, mais je peut te proposer de passer par une page intermédiaire afin de revenir sur la page 'visible' sans cette extension à ton url. Sans formulaire je ne vois pas dans l'immédiat de façon de passer des données d'une page vers une autre autrement que par la methode GET. {XML ?}
Si c'est pour l'aspect, le référencement ou autre, je peux te proposer la réécriture d'url {avec apache}. Autrement là tout de suite, je vois pas bien ce que je peux proposer. J'pense que ça m'aiderais si tu motivais ta demande ^^
30-08-2006, 09:13 PM
Bonsoir,
Je vais tenter d'expliquer depuis le début :hahahaha: En fait, cette page se situe dans un repertoire admin qui est protégé de différentes façons. Cette page ne sera donc accessible qu'a tres peu de personne et j'espere que ce ne sera que des personnes de confiance. Ce qui me fait "peur", c'est qu'apres avoir cliquer sur le lien "relaxer" ou "pendre/fusiller (je sais plus lequel j'ai mis lol)", il y a un petit reste dans la barre d'adresse. Or, vu que j'ai appris a ne jamais sous estimer un boulet de l'informatique, je voudrais pas laisser ce reste de $_GET dans la barre pour ne pas une boulette monumentale qui reviendrait a supprimer un personnage qui n'avait rien fait. Genre, je veux tapoter le matricule pour mettre la personne en prison (le formulaire, juste au dessus de la liste) et en fait, la personne etait en train de taper le chiffre derriere le reste de $_GET qui correspondait a la suppression du perso. Ce qui reviendrait a supprimer le personnage sans passage par la prison lol. Donc, c'est pour eviter des boulettes M'en fous que l'url soit moche ou pas lol Par conséquent la solution d'une page intermediaire peut etre une idée
31-08-2006, 09:54 AM
(Modification du message : 20-05-2016, 03:36 PM par Xenos.
Raison de la modification: Injection XSS
)
Alors je peut te conseiller d'utiliser des boutons à la place des liens. Tu utiliserais 2 champs input
Code : <input type="hidden" name="relaxer" value="<?=$_POST['id']?>" /> << Injection XSS possible: échappez via htmlentities($_POST['id'], ENT_QUOTES, 'utf-8'); (s Xenos)>> Un exemple en guise de représentation, sachant que tu as aussi la possibilité de le pendre. J'espère que ça te satisfaira, sinon reviens y on va se faire ça |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[Rails] Problème après rechargement de formulaire avec autocomplétion en cas d'erreur | popayan | 9 | 4 363 |
02-11-2011, 06:09 PM Dernier message: Sephi-Chan |