[php] un script dans une variable d'url...

un script dans une variable d'url... [php] - PHP - Programmation

Marsh Posté le 22-07-2005 à 20:28:41    

bijour a vous,
ca fait un moment que je suis pas venu ici lol :)
 
l'autre jour, j etais en train d éditer des pages d un site fait avec "php nuke" enfin basé dessus .. lol
 
et j ai trouvé un truc assez bizzare,  
il y avait une fonction "eregi" qui verifiait une variable contenu dans l'url..  
(comme http://www.hardware.fr/info.php?celleci=jevisite)
 
cette fonction verifiait donc si il n'y avait pas *script* inscrit dans cette varible  
 
donc j en viens a ma question, est ce possible de lancer un script avec cette méthode?
 
je savais qu on pouvait lancer une page sur un autre serveur en metant le liens enfin voila c est juste pour savoir si je devrais ou pas mettre ceci en prévention.  
 
:jap:


---------------
Feedback      D.o.H  -  Seine Saint Denis  -  93
Reply

Marsh Posté le 22-07-2005 à 20:28:41   

Reply

Marsh Posté le 23-07-2005 à 10:29:50    

Essaie  te documenter sur le PHP: http://www.php.net/  (a moins que j'ai vraiment rien compris).
Car en effet ce que tu dis n'a pas vraiment de sens et j'ai l'impression que tu confonds pas mal de truc(En programmation faut jamais commencer par éditer des trucs tout faits. Faut mieux partir de rien et evoluer, et apres quand on a bien compris  reprendre des choses deja existante).
Parce que en php tu fais ce que tu veux.
Tu recupère ta variable dans l'url avec $_GET['celleci']
Ensuite tu fais un switch dessus et en fonction des reponses tu "lance" tel ou tel script.
j'espère avoir répondu a ta question.
 
[EDIT]HOnte a moi De@thm@ster Of Hell, toutes mes plates excuses, je suis un horrible noob vu ce dont tu parles apres. promis je recommencerai plus :sweat: (et j'apprendrai a depister les gens qui maitrisent le php avant d'ouvrir ma g...)[/EDIT]


Message édité par kray le 23-07-2005 à 23:53:10
Reply

Marsh Posté le 23-07-2005 à 18:19:21    

salut,
en fait je ne suis plus trop un débutant de php,  ca fait quelques années deja que je pratique :d,
mon dernier site en date c est celui ci. http://wishmaster.free.fr/Hyperiums/
 
pour ce que tu me dis, je suis tout a fait d accord,
 
en fait, il y a quelque jours j ai édité le site que j avais mis en ligne pour ma soeur il y a (oula) longtemps lol
il y avait des erreurs du certainement au changement de version de php depuis.
 
mais en fait il y a une chose qui me trouble ..  
(mais vraiment :d)
 
c est ce code trouvé dans un fichier de phpnuke
 

foreach ($HTTP_GET_VARS as $secvalue) {
    if (eregi("<[^>]*[b]script[/b]*\"?[^>]*>", $secvalue)) {
 die ("I don't like you..." );
    }


 
 
$HTTP_GET_VARS est remplacé par $_GET maintenant  
mais ce je que je comprends vraiment pas c est le "script" ca voudrai dire que ce code a été mis la pour éviter le lancement de script par un visiteur qui l aurai inscrit dans l'url en tant que variable.
 
personnellement je vois pas trop comment une page php qui utilise une variable par exemple pour changer une page ou la langue du site, permetterai de lancer un script
  :??:  


---------------
Feedback      D.o.H  -  Seine Saint Denis  -  93
Reply

Marsh Posté le 23-07-2005 à 18:44:34    

c pourtant simple il test si tu essaie de foutre une balise <script> pour eventuellement ajouter du javascript je suppose..... ôO

Reply

Marsh Posté le 23-07-2005 à 18:49:28    

Oui ... apres ... l'utilité de ce controle ... ca depend des failles qui se trouvent ailleurs dans le code ;)


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 23-07-2005 à 20:04:04    

Gat$ a écrit :

c pourtant simple il test si tu essaie de foutre une balise <script> pour eventuellement ajouter du javascript je suppose..... ôO


 
"ca voudrai dire que ce code a été mis la pour éviter le lancement de script par un visiteur qui l aurai inscrit dans l'url en tant que variable. "  
c est bien ce que javais dis alors [:ddr555]
 
 

esox_ch a écrit :

Oui ... apres ... l'utilité de ce controle ... ca depend des failles qui se trouvent ailleurs dans le code ;)


 
 
bah le probleme c est un peu ca, vu que je mis connais tres peu en javascript, je ne sais pas ce que ca peut faire ou comment il peut etre simplement lancé.
c est ce qui m embete, car je ne sais pas si il est vraiment utile d utiliser ce code de controle.
 
par exemple si on a ce code.


// url www.monsite.fr/index.php?a=<script>bigoudi...etc
 
<html>
<body>
<center> il est beau mon site ... <center>  
 
<?php
echo 'lalalala '.$_GET['a'].' ';  
?>
 
</body>
</html>
 


 
 
donc la ca affiche tout ce qu il y a dans la variable.. et si c est un script il est utilisé par la page  
en fait faut pas utiliser les variables tel quel .
 
 
 


// url www.monsite.fr/index.php?a=<script>bigoudi...etc
 
<html>
<body>
<center> il est beau mon site ... <center>  
<?php
include('langues/'.$_GET['a'].'.txt');
?>
</body>
</html>
 


 
la par contre ca donne juste une erreur
 
 
 
(rahlala jsuis pas doué des fois)
 
désolé de vous avoir enquiquiné .. :d
et merci pour les réponses ^^ :jap:


Message édité par de@thm@ster of hell le 23-07-2005 à 20:05:31

---------------
Feedback      D.o.H  -  Seine Saint Denis  -  93
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed