Bonjour,
Voila je pense avoir fini mon site mais avant de le mettre en prod je voudrais le faire tester.
Donc si certain sont intêresser je peut partager les sources car seul de mon coté ça va pas le faire, je ne peut pas vraiment tester les failles je ne les connais pas toutes.
Il n'y a pas grand chose a tester juste le forum, les commentaire, l'enregistrement, l'activation etc... je précise que chez moi tout fonctionne.
si après vous pouvez regarder les sources et me dire ce qui ne va pas ce sera un bonus :)
si cela vous intêresse je prépare les fichiers le dump et je les posterai.
Salut,
Tu devrais le mettre en ligne, mais ne partager le DNS qu'avec les personnes voulant bien le tester plutôt que de diffuser ton code source, ça sera plus simple dans un premier temps ;)
Oui je vais faire ça mai le but aussi c'est de connaitre les faille comme j'ai mis un ckeditor sur le forum
A ce moment là, il faut que tu vérifies des data côté serveur et que tu échappes les data sur les queries ;)
tu veut dire quoi par : échappes les data sur les queries ?
moi pour l'enregistrement d'un titre ou pseudo etc... qui n'a pas besoin de style je fait strip_tags
si c'est un contenue ou je veut du style article forum etc... je fait htmlspecialchars
, pour afficher je fait rien pour les strip_tags
pour l'affichage de contenue je fait htmlspecialchars_decode
pour le reste les id ou valeur numérique je fait intval
et je ne fait que des req préparé, les mots de pass sont hacher donc la pas besoin de chipoter.
Pour tester Advancid j'ai poster une alert dans une réponse a un topic et en créant un topic :
<script>
alert("Hello! I am an alert box!!");
</script>
L'alert est passer si je tape mon text en source sur CK si je tape normalement il affiche le script mai il n'est pas executé.
donc il faut que je convertisse cette balisse ? ou que je retir le bouton source ?
je ne connait pas les whitelist si tu a un exemple.
j'ai aussi essayer de faire un header il met des tiret dans la balisse php :
<!--?php
header('Location:http://google.fr');
die;
?-->
Pour le php c'est safe ?
En gros je ne veut faire passer que les balisse de formatage de text exemple p, img, h1, li ,a
...