Bonjour,
Je suis mumbly, "webmaster" des sites freetorrent.fr et freeostorrent.fr.
L'idée centrale de ces sites est de partager tous médias libres ou OS libres par l'intermédiaire du protocole bittorrent.
Il y a 2 ans, j'ai décidé de créer "from scratch" une interface php à XBTT (tracker)... C'est la même interface pour freeostorrent et freetorrent... mais en 2 sites
Problème : j'ai des connaissances basiques en php et j'ai donc pasé beaucoup de temps à "assembler" cette interface.
J'ai, à l'origine, pris le parti d'utiliser PDO et les requêtes préparées.
Depuis quelques semaines, des "pirates" ont pris mes sites pour cible.
Résultats : injections régulières de script dans la base sql... et là je ne vois pas comment corriger tout cela... et c'est le bordel... et j'enlève à la main les différentes lignes ajoutées à peu près 1 ou 2 fois par semaine.
Dnc, je ne sais plus du tout comment faire... j'imagine que j'ai du faire des erreurs grossières dans le code.
Et je me suis décidé à mettre un mot ici...
Les "problèmes" arrivent fréquemment sur les pages membres.php, news.php.
Au cas où, voici donc les adresses des sites :
http://www.freetorrent.fr et http://www.freeostorrent.fr
Bonne journée.
la communauté d'entraide francophone dédiée au PHP
[RESOLU] Injection java script dans SQL
http://php.net/manual/fr/function.htmlspecialchars.php lors de l'affichage sur le site de toutes les données issues de ce qui est envoyé au serveur par le programme client.
salut,
utilise plutôt strip_tags avant insertion pour limiter les tags que tu souhiates permettre (vu que tu semble autoriser le html dans tes messages).
après, comme l'indique las doc c'est pas ultime, si tu veux mieux il faut le coder toi même. Par exemple remplacer tous les <p ...> par <p>
le plus simple serait peut être d'utiliser un système genre bbcode pour la mise en page
@+
utilise plutôt strip_tags avant insertion pour limiter les tags que tu souhiates permettre (vu que tu semble autoriser le html dans tes messages).
après, comme l'indique las doc c'est pas ultime, si tu veux mieux il faut le coder toi même. Par exemple remplacer tous les <p ...> par <p>
le plus simple serait peut être d'utiliser un système genre bbcode pour la mise en page
@+
Il en faut peu pour être heureux ......