Et concrètement, ça peut donner quoi au pire ? Huh
Heu tu peux recevoir 3000 mails à la minute si quelqu'un a l'idée !
Mais je crois que le spam abusif est puni par la loi non ?
Pss, si tu veux, je te fais la chose mais en moins pire ! si tu veux voir
Enfin, par exemple, enregistre sur ton burreau ce code en appellant la page comme tu veux mais
.html, tu vas comprendre de quoi Matthieu parlait :
<form method="post" action="http://www.lalimacefolle.com/contact.php">
<input type="text" name="nom"><BR>
<input type="text" name="email"><BR>
<input type="text" name="objet"><BR>
<textarea name="message"></textarea><BR>
<input type="checkbox" name="chkboxaspam" CHECKED><BR>
<input type="submit" name="envoi">
</form>
Tu veux dire que tu remplaces les "$_POST" contre des "$_SESSION" ?
Non, ça ne marcherait plus. Lorsqu'on valide un quelconque formulaire de method="POST", les champs se stockent dans le tableau $_POST sur la page du action du formulaire.
C'est un peu compliquer pour les $_SESSION[""] (si tu ne sais pas ce que c'est =>
ici)
Voila ce que je fais :
Lorsqu'on est sur la 1er page ça crée la session 1.
Puis dans la 2em pages (traitement.php) il faut que la session 1 existe pour exécuter le traitement puis la session se supprime et une autre se crée. La 2em page se charge que si la 2em session nm'existe pas come ça, il faut que les utilisateurs ferment leur navigateur ou attendent 30 mins pour refaire marcher le traitement.
C'est bof mais c'est toujours ça...
Je ne sais même pas si il existe La
Solution de ce problème.
L'importance est surtout et à chaque fois, d'utiliser ça pour ramasser du $_POST[""]
$text = htmlspecialchars($_POST["xxxx"], ENT_QUOTES);
(j'espère que ce truc la n'a pas de faille)Pour quoi est-il tres tres important ? Car il remplace "<" et ">" respectivement par "<" et ">".
(il ne fait pas que ça mais c'est ça le plus important) Comment ça, on ne peut pas écrire de balise html (qui ne sont pas tres tres dangereuses) et ni de balise php (qui elles, peuvent elles mortel pour le site)
Si tu veux un exemple concret fait des testes avec ce code :
<form action="" method="POST">
<textarea name="JUJU" style="width:300px;height:100px"></textarea
<br>
<input type="submit">
</form>
<?php
if (isset($_POST["JUJU"]))
{
$Message = $_POST["JUJU"];
fwrite(fopen("Teste_Laurent.php", 'a'),"<div style='Border:1px Solid'>".$Message."</div><br>");
echo "<script>window.location=''</script>";
}
?>
Appelle cette page :
Teste_Laurent.php sinon, ça ne marche pas.
Dans ce script, il n'y a pas le code important
$text = htmlspecialchars($_POST["xxxx"], ENT_QUOTES);
c'est volontaire.
Tu vas voir ce qu'il va se passer.
D'abord écrie dans le textarea et valide :
Salut !
Tu as compris ce que fais le script.
Profitons qu'il n'y ai pas de sécurité :
écrie dedans :
<span style="color:#FF0000">Salut !</span>
Balise html, tu vois, ce n'est pas méchant lorsqu'on voit le resultat.
Sinon ya un peu plus mechant, mais pas si grave que ça :
<script>alert('Coucou !')</script>
Bref, ce n'est pas tres tres vilain les balises html.
Passons aux balises php :
écrie dedans :
<?php echo "Salut !"; ?>
Bon, pas tres méchant.
Maintenant écrie ça :
<?php unlink("Teste_Laurent.php"); ?>
Ce code, supprime tout simplement la page...
Et on peut supprimer tout les fichiers de ton site ou alors, créer une page pour soit...
Bref, il est surtout la, le danger.
Refais tout les testes avec cette fois la sécurité en remplacement le :
$Message =$_POST["JUJU"];
par :
$Message = htmlspecialchars($_POST["JUJU"], ENT_QUOTES);
Et tu vas voir comment c'est pratique.
PHP Astux
