PHP

Shout-Box trés basique

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Shout-Box trés basique

_Reggae_

Salut,

Je débute en PHP, et j'ai fait un petit code très simplifié, pour un mini-tchat je voudrai savoir s'il y a des failles à corriger sur ce codes avant de continuer... merci.

Code :

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
<head>
<title>Mini-chat</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
</head>
<style type="text/css">
form
{
text-align:center;
}
</style>
<body>
<?php
if( isset ($_POST['pseudo']) AND isset ($_POST['message']) )
{
if( $_POST['pseudo'] != NULL AND $_POST['message'] != NULL )
{
mysql_connect("localhost", "root", "" );
mysql_select_db("teste" );
$pseudo = $_POST['pseudo'];
$message = $_POST['message'];
mysql_query("INSERT INTO tchat VALUES('', '$pseudo', '$message')" );
mysql_close();
}
}
?>
<form action="tchat.php" method="post">
<p>
Pseudo : <input type="text" name="pseudo" /><br />
Message: <input type="text" name="message" /><br />
<input type="submit" value="Send" />
</p>
</form>
<?php
mysql_connect("localhost", "root", "" );
mysql_select_db("teste" );
$data= mysql_query("SELECT * FROM tchat ORDER BY ID" );
mysql_close();
while( $arrayData= mysql_fetch_array($data) )
{
?>
<p><strong><?php echo $arrayData['psd']; ?></strong> : <?php echo $arrayData['msg']; ?></p>
<?php
}
?>
</body>
</html>

Merci d'avance pour votre aide.

Message édité par _Reggae_ le 17-07-2007 à 18:10:09

Publicité

darklord

You're welcome

shout [:rofl2]

Halike

Bonjour,
ce script n'est absolument pas sécurisé.
Premierement, aucun controle n'est effectué sur les données soumises par l'utilisateur avnt de les insérer dans la base de données. Tu risques donc une attaque par injection SQL.
Deuxiemement, tu ne controle pas non plus ce qui est affiché sur la page. Ainsi, l'utilisateur peut placer du code HTML ou javascript sans probleme sur ta page. Si je ne m'abuse, on appelle cela une faille de type XSS. Par exemple, entre un message du genre:

Code :

<script>alert('Vous avez ete pirate!');</script>

Cet exemple est inoffensif, mais on peut faire bien pire en javascript...

Pour combler ces failles, regarde du coté des fonctions addslashes et html_entities

Apres, je suis loin d'etre un pro en php (ou autre), donc il y a peut etre (surement ) d'autres points faibles...

Bon amusement.

$man

Code :

#
if( isset ($_POST['pseudo']) AND isset ($_POST['message']) )
{
if( $_POST['pseudo'] != NULL AND $_POST['message'] != NULL )
{

-->

Code :

if (!empty($_POST['pseudo']) && !empty($_POST['message']))

rufo

Pas me confondre avec Lycos!

strip_tags() aussi pour sécuriser un peu plus.

FORUM HardWare.fr

Programmation

PHP

Shout-Box trés basique

Sujets relatifs
[Résolu] Question basique a propos des WebUserControl	Programation en C (basique)
AIDE TAF POUR ECOLE structure XHTML très urgent	[C] Petit soucis de debutant, certainement vraiment tres bete...
[C#] Je cherche un composant graphique très spécial	Travail à la chaine très peu pour moi !
[Java Swing] Alignement d'un "Box" component à gauche	petite aide surement très simple pour labview
[scilab] besoin d'un coup de main basique	Problème très simple mais irésolu
Plus de sujets relatifs à : Shout-Box trés basique

Page générée en 0.037 secondes