Bien sécuriser un formulaire de contact html/php
Bien sécuriser un formulaire de contact html/php - PHP - Programmation
Marsh Posté le 29-01-2007 à 13:40:11
$texte="<html>";
$texte.="$texte";
$texte.="</html>";
Hmm. ![[:pingouino]](https://forum-images.hardware.fr/images/perso/pingouino.gif "[:pingouino]")
---------------
StarCraft Professional Gaming Database | [Ze Topic] Starcraft/BroodWar
Marsh Posté le 29-01-2007 à 14:14:32
| Citation : $texte="<html>"; |
Que veux tu dire par là ?
Marsh Posté le 29-01-2007 à 14:28:38
Il veux dire que c'est affreux comme code, qu'il ne faut pas entourer de " une variable si tu veux l'afficher, que tu prends trois ligne alors qu'une aurait été plus claire.
$texte='<html>'.$texte.'</html>';
Et puis tu ne semble pas faire de vérification sur les information que tu vas balancer dans ton mail...
Marsh Posté le 29-01-2007 à 14:31:10
dexenium a écrit :
Que veux tu dire par là ? |
Que tu fais $texte='<html><html></html>';, ce qui est déjà louche, mais en 3 lignes, ce qui l'est encore plus?
Message édité par skeye le 29-01-2007 à 14:31:22
---------------
Can't buy what I want because it's free -
Marsh Posté le 29-01-2007 à 14:55:04
| Citation : Et puis tu ne semble pas faire de vérification sur les information que tu vas balancer dans ton mail... |
est-ce qu'on le fait avec addslashes()
Marsh Posté le 29-01-2007 à 15:00:08
La question est : d'où viennent toutes tes variables, là? 
---------------
Can't buy what I want because it's free -
Marsh Posté le 29-01-2007 à 15:19:37
si c'est le cas, un addslashes ne suffit pas... du moins ça dépend des champs et de ce que tu vas en faire aprés... en bref, donne plus d'info sur le contexte... tu récupére les info pour les mettre dans une bdd ?..
Marsh Posté le 29-01-2007 à 15:19:42
...je devine ça comment, moi?![[:moule_bite]](https://forum-images.hardware.fr/images/perso/moule_bite.gif "[:moule_bite]")
Le seul moyen pour comprendre ce qu'il pourrait y avoir comme menaces sur ton script, c'est de savoir quelles sont les données qui viennent de "l'extérieur", et ce que tu en fais exactement.
---------------
Can't buy what I want because it's free -
Marsh Posté le 29-01-2007 à 15:49:47
Alors c'est un formulaire qui permet tout simplement d'envoyer un mail vers une messagerie. Je ne stocke pas le message, à la rigueur je pourrais demander à récupérer l'adresse de l'expéditeur pour la stocker dans une table de ma bdd.
Les champs sont ; nom, prénom, adresse mail, message.
Marsh Posté le 29-01-2007 à 17:10:21
Alors un spamming de ton adresse tu ne risque pas grand chose, si tu ne stocke rien.
Maintenant si tu stocke des données en base, il faut impérativement les passiver (éviter les injections SQL) donc Addslashes est bien util.
Marsh Posté le 29-01-2007 à 17:20:26
Chani_t > Addslash est trés insufisant pour protéger des requettes sql. le mieux, c'est les "prepared statements" et les instructions dédiés tels que mysql_escape_string.
Marsh Posté le 29-01-2007 à 17:49:42
je m'en doutais... mais je n'avais plus le nom de la fonction pour mysql en tête 
.. 
merci de la précision
Sujets relatifs:
- Retour arrière sur un formulaire sans effacer le contenu.
- [HTML/CSS/JavaScript]Projet interface site web 3d inspiré de XGl
- envoyer formulaire POST d'une popup a la page opener
- Modification d'un fichier html
- ouvrir nouvelle page apres validation formulaire connex
- Aide sur ce formulaire
- Forcer l'ouverture d'un fichier d'une page html
- [Javascript/HTML] balise <object> et javascipt
- [Html,css,javascript] Gallerie Lightbox
- [HTML/CSS] Problème affichage d'images
Marsh Posté le 29-01-2007 à 12:23:06
Bonjour,
J'utilise ce code php pour envoyer un message via un formulaire sur la page html d'un site, mais je ne m'y connais pas assez pour savoir si ce code est bien sécurisé, qu'en pensez vous ?
On me dit que ce code serait sensible au cross scripting
Est-ce qu'il est également judicieux de mettre un captcha ?
Merci pour vos conseils
Message édité par dexenium le 29-01-2007 à 13:33:23