[RESOLU] Injection java script dans SQL

Eléphanteau du PHP | 14 Messages

03 nov. 2016, 07:59

Bonjour,
Je suis mumbly, "webmaster" des sites freetorrent.fr et freeostorrent.fr.
L'idée centrale de ces sites est de partager tous médias libres ou OS libres par l'intermédiaire du protocole bittorrent.
Il y a 2 ans, j'ai décidé de créer "from scratch" une interface php à XBTT (tracker)... C'est la même interface pour freeostorrent et freetorrent... mais en 2 sites
Problème : j'ai des connaissances basiques en php et j'ai donc pasé beaucoup de temps à "assembler" cette interface.
J'ai, à l'origine, pris le parti d'utiliser PDO et les requêtes préparées.
Depuis quelques semaines, des "pirates" ont pris mes sites pour cible.
Résultats : injections régulières de script dans la base sql... et là je ne vois pas comment corriger tout cela... et c'est le bordel... et j'enlève à la main les différentes lignes ajoutées à peu près 1 ou 2 fois par semaine.
Dnc, je ne sais plus du tout comment faire... j'imagine que j'ai du faire des erreurs grossières dans le code.
Et je me suis décidé à mettre un mot ici...
Les "problèmes" arrivent fréquemment sur les pages membres.php, news.php.
Au cas où, voici donc les adresses des sites :
http://www.freetorrent.fr et http://www.freeostorrent.fr
Bonne journée.

Mammouth du PHP | 672 Messages

03 nov. 2016, 10:25

http://php.net/manual/fr/function.htmlspecialchars.php lors de l'affichage sur le site de toutes les données issues de ce qui est envoyé au serveur par le programme client.

Eléphanteau du PHP | 14 Messages

03 nov. 2016, 13:50

Merci... mais je me retrouve avec ce type de texte :
<p>Apr&egrave;s plusieurs piratages, le site est entrain d'&ecirc;tre audit&eacute;...</p>
Comment afficher un texte "lisible" ?
Codialement,

Avatar de l’utilisateur
Modérateur PHPfrance
Modérateur PHPfrance | 8755 Messages

07 nov. 2016, 12:23

salut,

utilise plutôt strip_tags avant insertion pour limiter les tags que tu souhiates permettre (vu que tu semble autoriser le html dans tes messages).

après, comme l'indique las doc c'est pas ultime, si tu veux mieux il faut le coder toi même. Par exemple remplacer tous les <p ...> par <p>

le plus simple serait peut être d'utiliser un système genre bbcode pour la mise en page ;-)

@+
Il en faut peu pour être heureux ......

Eléphanteau du PHP | 14 Messages

12 nov. 2016, 18:12

Ok merci pour les infos...
Le strip_tags n'y fait rien.
Un lien pour un systeme bbcode qui va bien ?