bonjour,
 
j'explique: ma residence universitaire couvre le batiment en wifi. l'access point est en OPN, donc pas crypté (ni WEP, ni WPA). mais quand on ouvre firefox (ou IE), une page de demande d'identifiants s'affiche) j'ai remarqué qu'une variable qui passe dans l'URL (donc en GET) présentait une faille. c'est-à-dire qu'on peut facilement la detourner pour injecter du code. ça marche bien pour le JS. mais quedalle pour le php. en effet quand j'insère par exemple:
 
<?php echo 'test'; ?>
 
le code n'est pas executée.
pourtant, quand j'affiche la source, je vois clairement:
 
<?php echo 'test'; ?>
 
Est-ce que c'est inexploitable comme faille de securité?
 
avec mes remerciements,

ça dépend de comment est codée l'appli côté serveur...

si on pt injecter du JS, ton appli est morte .
 
Pour injecter du PHP tu feras plutot un include.
 

 
réfléchi tu vas trouver...
   
 

Pourquoi tu lis jamais tout et crois perpétuellement que les gens qui parlent sont responsables du "problème" qu'ils abordent  

C'est simple : je hais les CMS libres et leurs utilisateurs.  
 
La plus visible des conséquences est le fait que le Web est formaté, que tous les sites se ressemblent.
 
J'assume que la personne qui poste dans le forum developpeur PHP est un développeur et non un leecher.
 

 
relis encore une fois, il ne parle pas d'un CMS tout fait

Bah, quand je vois certains CMS et la pluspart des forums comerciaux récents, je me dis que côté tronche, c'est pas mieux si ce n'est pire.
Quand aux utilisateurs, ils n'y sont pour rien si une boite ou un webmaster choisit tel ou tel CMS. Quand aux webmasters, ils ne sont pas tous des développeurs, loin de là. Tu ne vas quand même pas demander à tout le monde d'apprendre le php pour ouvrir un site avec un forum.

Si    
 

+1 pour le fait que tu répondes systématiquement à côté de la plaque. Souvent je me dis que tu as vraiment pas le niveau de tes prétentions. Le monsieur déjà, il a clairement dit que c'était pas son appli (par contre visiblement il essaye d'exploiter la faille d'une appli ce qui est pas forcément mieux).
 
Et injecter du php sur une variable get qui est juste affichée (il a jamais été question d'include) ... le seul moyen serait qu'il y ait un eval sur cette variable. Et même pour ton histoire d'include, ça voudrait dire que 1)il n'y aurait aucune verif sur le fichier à inclure, 2)le serveur accepterait d'inclure des fichiers distants ... bref, merci d'être passé.
 
Donc pour répondre à la question, vaut mieux se contenter de profiter de la faille en js, en balançant par exemple un vilain lien à tes petits camarades pour récupérer leurs identifiants  

 
 
la syntaxe est bonne, le page est bien en .php, ...    
 
Je trouve ça vraiment curieux que la source affiche très explicitement <?php echo 'test'; ?> et que celà ne soit pas traduit/executé par le serveur.    
 
 
Bon, si je comprend, c'est inexploitable? il est possible d'afficher la source complète (avec le php donc) via du JS? pour info, le VBScript passe également je pense. On peut faire de sérieux dégâts avec ça?
 
je précise que c'est pas du "hacking", c'est par curiosité   j'ai tjrs la manie de tripoter les variables qd je visite un site. et là, le fait que le code ne soit pas executer me parait excessivement irraisonable.  

Ce qui serait un gros trous de sécurité serait justement que le contenu de la variable soit exécuter comme du code. Par contre, par sécurité, ils auraient du le traiter pour neutraliser son contenu une fois le contenu renvoyé au navigateur.

 
si i ly a un echo $_GET['variable'] alors ca fait le resultats que tu donnes
 
essaye avec des chaines du type "; echo "test";  ou ';echo "test";