Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
question sur la sécurité
Bonsoir,
j'ai utiliser des plugin de firefox XSS me et sql inject me et je me suis aperçu que l'avatar avait été déplacé de colonne dans la bdd et que la session de mon id effacé
je voulais savoir si une variable id qui se trouve dans une session pouvait être effacé et si on pouvait protéger une image.peut on protéger des bouton radio
mes requêtes sont des requêtes préparées
merci pour vos réponses
Bonsoir,
Pour "protéger des boutons radio", rien de plus simple : il suffit de vérifier côté serveur que la réponse reçue fait bien partie de la liste des réponses possibles.
Qu'entendez-vous par "protéger une image" ?
Cordialement,
il y a t'il une faille dans l'application d'une image comme un avatars
car pour afficher mon avatars j'utilise sa:
Code html : Sélectionner tout - Visualiser dans une fenêtre à part
2
je te propose de prendre les choses très simplement :
une variable
alors jusque la rien de très dangereux ..
Code : Sélectionner tout - Visualiser dans une fenêtre à part $avatarImage = $data['membre_avatar'] = 'monavatar.jpg' ;
il peux y avoir x raison pour lesquelles data['membre_avatar'] peux être "suspicieux" , et pour cela à première vue, tu n'a qu'à vérifier par exemple la bonne conformité du nom de l'image dans un premier temps , cad ,
cela dit ne connaissant pas pourquoi tu te pose cette question, les vérifications peuvent se faire surement lors de l'upload de l'image sur ton site etc...
Code : Sélectionner tout - Visualiser dans une fenêtre à part $avatarImage = $data['membre_avatar'] = [nom-fichier][extension-autorisé] ;
bin depuis que j'ai eu un compte jeu hacker,je suis devenu un peu parano sur la sécurité,comme je les marqué sur mon 1er post j'ai fais des tests avec les plugin sur le xss et le sql,sa passe mais je vois pas comment une variable id qui se trouve en session a pu être effacer ainsi que l'image qui devrait être dans la colonne image se retrouve dans une autre colonne vide de ma table
pour ma part, aucune confiance dans les sessions, tu ne sais pas ce que qui transit dans les tuyaux de france télécom... le mieux c'est de passer en https il parait, mais déjà, une preuve de plus que les sessions sont trop 'friable',
un exemple que j'ai essayé et que les jeux en ligne multijoueurs utilisent :
session commune : cad ; POST A permet a POST B distant de partager la même session ; cad entre mon ordi et le tiens nous utilisons le même id de session, donc dans le tuyaux nous pouvons avoir une communication privilégié tout en sachant que l'ouverture de cette session engendre si on ne fait pas attention l'ouverture de possibles écoutes pirates...
que dit tu de cela ?
ok alors comment protéger une session?on peut ou on ne peut pas
bien sur, si c'est toi qui gère..
Prérequis :
avoir une base de donnée
php5 min
(un peu d'ajax)
base de donnée ok,php 5 ok mais je vois pas a quoi sert le ajax
c'est plus discret ( ou pas )...
mais au moins tu sais ce qu'est un échange de donnée asynchrone, entre un poste client ( ton PC ) ,et un serveur ( tiers )
sans parler de sécurité, c'est bien de voir les nouvelles normes du W3C, dont pour l’échange de données celles concernant le html5 et dont les requêtes asynchrones sont largement prises en compte ( j'ai pas un exemple précis sous la main,)
sinon a par les deux plugin firefox,il y a t'il d'autre systèmes pour vérifier les sécurité d'un site,je voudrais pouvoir testé sa sécurité
Répondre avec citation
Partager