Slt à tous...  
Je vous présente la team TRISUR, visible sur le site *********
Je vien de faire un script en PHP qui s'appelle TRIBISUR
C'est un PORTAIL en php trés simple...
Cependant g besoin de votre aide pour pouvoir sécuriser la partie admin à 100% ( mème 99% )
Si vous aussi vous voulez participer au dev de ce portail, merci de me contactez par mail ou sur le site
Regardez aussi l'annuaire HAYOO, portail/annuaire fait par myself    
@+
je compte sur votre aide

mais cai supaire
 
 
ban

bon, j'ai juste viré l'URL, sinon on va encore dire que je suis trop dur...

Il y a pas de titre à la page
La pub est super mal intégrée.
C'est quoi comme license ?
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0"> (beurk)

Pourquoi tant de haine ? Le gars demande un peu d'aide pour la sécu côté admin et j'sais que Sh@rdar et ethernal en connaissent un rayon dessus (et omega2 aussi, je crois)

parce que sinon on va avoir plein de messages du type
 

Ui non r'marque c'est vrai.

honnetement bof

quoi bof ?

ouai bon Mon topic cété en fait pr faire un peu de pub...
Mais je si quelqu'un veu bien m'aider pour ce qui est de la sécurité là oui je veux bien...
Si des personnes peuvent me donner des tuyaux ou des ptits conseils...  
merci

lorill : mea culpa

on a remarqué, et c'est justement ce qu'on te reproche.
 

je suis sur qu'il y en a (pas moi, c'est pas du tout mon domaine), mais pas en le présentant comme ca a mon avis. Vaut mieux que tu poses des questions précises, c'est plus efficace.

"faudra revoir la notion de spam hein harkonnen" (c) moins moins - "le gars cherchait de l'aide", etc...

tu commences mal...
 
query non protégées,
listing des prépertoires,  
affichage des messages d'erreurs

stp explique query non protegées

tu prends l'url, tu la modifies en mettant des caractères inhabituels (ex : id numérique, tu mets des lettres) - message d'erreur affichant la query, tu mets qqch de valide (ex: "...?id=1 or 1=1" ), ça passe...
 
imagine une query de delete de mon post où je modifie l'id dans l'url par "...?id=1 or 1=1"... tu n'as plus de table de post...
 
il faut :
1. tester ce que l'on te donne -> is_numeric($id)
2. entourer la valeur dans la query par des ''--> wherer id='$id', sans oublier le addslashes si ce n'est pas activé dans la config de php.ini
3. empêcher l'affichage des erreurs, pour éviter de connaitre le nom des champs et la query qui est exécutée.

ahh oui on peut mettre des addslashes et des stripslashes ds le php.ini pour etre tranquillou une fois pour tte avec les chemins etr autres caractères ", à la noix

ouai mais si on met l'URL en hidden? paske bon meme sans avoir le message d'erreur on peut deviner les champs

désolé, je comprnds pas ce que tu veux dire ?? mettre l'url en hidden ?? la crypter ? enlever la barre d'adresse d'IE ?
 

ha bon ? le champ id à la limite (qui est un classique), mais sinon le champs dans l'url ne veulent rien dire... tu peux très bien avoir nom dans l'url et user_name dans la table user. (idem pour le nom des tables etc...)
Expliques ton raisonnement stp.