par
as2 » 02 juil. 2011, 15:44
Bonjour,
Sur mon site internet, j'ai une page contact avec un bon vieux formulaire php genre
Et donc une page post2.php qui traite les données envoyés avec le formulaire et les inscrit dans une base de données MySql.
Le tout programmer par moi-même.
Pour eviter les messages des petits plaisantins, je "scanne" toutes les données envoyées avant de les inscrire dans la BDD.
Pour celà j'utilise un bon vieux parsing cararactère par caractére de tous les champs envoyées, du genre :
Et ça fait 3 ans que ça marche comme ça sans probléme.
Or aujourd'hui on m'a envoyé des tas de merde , par un certain :
[email protected]
Et dedans il y avait des <script> ce qui est trés étonnant puisque j'avais interdit le caractére "<" comme je le dis plus haut.
Quelqu'un aurait une idée de l'origine de cette intrusion, et pourquoi mon programme ne l'empeche pas ?
D'avance merci
Bonjour,
Sur mon site internet, j'ai une page contact avec un bon vieux formulaire php genre [code]<form method="post" action="post2.php">[/code]
Et donc une page post2.php qui traite les données envoyés avec le formulaire et les inscrit dans une base de données MySql.
Le tout programmer par moi-même.
Pour eviter les messages des petits plaisantins, je "scanne" toutes les données envoyées avant de les inscrire dans la BDD.
Pour celà j'utilise un bon vieux parsing cararactère par caractére de tous les champs envoyées, du genre :
[code]if (substr($n, $i,1)=="<") $alerte=1; [/code]
Et ça fait 3 ans que ça marche comme ça sans probléme.
Or aujourd'hui on m'a envoyé des tas de merde , par un certain :
[email protected]Et dedans il y avait des <script> ce qui est trés étonnant puisque j'avais interdit le caractére "<" comme je le dis plus haut.
Quelqu'un aurait une idée de l'origine de cette intrusion, et pourquoi mon programme ne l'empeche pas ?
D'avance merci
