Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Protection contre hack (injection ect..)

https://forum.phpfrance.com/viewtopic.php?f=8&t=257110

Page 1 sur 1

Protection contre hack (injection ect..)

Posté : 29 janv. 2011, 19:05
par mediine
Salut,

J'ai ce formulaire sur mon site;

http://mediine-design.servhome.org/port ... ontact.php

Et je voulais savoir si quelqu'un peu l'utiliser pour injecter ou faire des choses malsaines sur mon site ? Si oui comment protéger ?

Merci d'avance

Re: Protection contre hack (injection ect..)

Posté : 29 janv. 2011, 19:28
par AB
Tout ce que l'on peut voir de ton formulaire c'est que tu as utilisé la méthode "post", et c'est une bonne chose.

Pour ce qui est des injections dans les requêtes, il faudrait que tu nous montre ton code.

Pour se protéger des injections il faut utiliser la fonction "mysql_real_escape_string" avec mysqli ou mysql (mysql = extension déconseillée car le développement est arrêté), ou utiliser des requêtes préparées avec PDO (cela dit on peut aussi faire des requêtes préparées avec mysqli).

Re: Protection contre hack (injection ect..)

Posté : 29 janv. 2011, 19:36
par mediine
Voici mon code php :)
<?php
/* Remplacer [email protected] par votre adresse mail
   Remplacer http://www.votre_domaine.net par votre nom de domaine */

$adresse = "***@live.fr";
$site = "www.***.com";

$TO = $adresse;

$head = "From: ".$adresse."\n";
$head .= "X-Sender: <".$adresse.">\n";
$head .= "X-Mailer: PHP\n";
$head .= "Return-Path: <".$adresse.">\n";
$head .= "Content-Type: text/plain; charset=iso-8859-1\n";

$sujet = "Formulaire de contact du site 'mediine-design'";

$informations = "
Nom: ".$_POST['realname']." \r\n
Email du formulaire: ".$_POST['email']." \r\n
Sujet du formulaire: ".$_POST['title']."\r\n
Message: ".$_POST['comments']." \r\n
";

$res = mail($TO, $sujet ,$informations, $head);

if (true == $res) {
Header("Location: http://".$site."/contact_ok.php" );
} else {
Header("Location: http://".$site."/contact_error.php" );
}
?>
<div align=center>
<form method=POST action=***.php >
<input type=hidden name=subject value=formmail>

<div id="formulaire">
<table>
<tr>
<td><span class="Style2">Votre Nom:</span></td>
<td><input type=text name=realname size=30 /></td>
</tr>

<tr>
<td><span class="Style2">Votre Email:</span></td>
<td><input type=text name=email size=30 /></td>
</tr>
<tr>
<td><span class="Style2">Sujet:</span></td>
<td><input type=text name=title size=30 /></td>
</tr>
<tr>
<td colspan=2><span class="Style3">Commentaires:</span><br />
<textarea cols=50 rows=6 name=comments></textarea> </td>
</tr>
</table>
<br>
<input type=submit value=Envoyer> -
<input type=reset value=Annuler>
</form>
</div>

Re: Protection contre hack (injection ect..)

Posté : 29 janv. 2011, 19:38
par moogli
tu ne risque "rien" avec ce formulaire, pas de connection au sgbd donc pas d'injection, pas d'upload de fichier donc rien extrèmement limité.

au pire tu va te faire spammer par un *** qui va boucler sur ton formulaire, ceci est évitable avec un "captcha" ;)

@+
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/