Discussion :

[frohike]

Bonjour,

J'ai un problème concernant une base de données mysql.
Il s'agit d'un livre d'or tout ce qu'il y a de plus classique, que des utilisateurs peuvent remplir avec un formulaire en php.

Mais de temps en temps, par vague, des messages d'autres sites (forums et blogs principalement) s'ajoutent. En français, en anglais, de thèmes différents... Ce n'est pas pour autant du spam.

La connexion se fait via un fichier php contenant les informations nécessaires de type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$db = mysql_connect('serveur', 'login', 'password');
mysql_select_db('labase',$db);

Le site est chez un hébergeur mutualisé.

Avez-vous des pistes à me suggérer ? Parce que là je sèche :-/

Merci :-)

[heretik25]

Bizarre comme histoire

Ce sont des utilisateurs enregistrés sur ton site qui ajoutent ces commentaires ?

Si ce n'est pas le cas, comment est-ce possible si le formulaire est bridé uniquement aux utilisateurs de ton site.

Il doit y avoir une faille dans ton code.

[frohike]

Bonjour et merci pour ta réponse :-)

Oui c'est ce que je me suis dit. J'ai mis un captcha mais ça ne change rien.
Le code est très basique, il est possible qu'il y est une faille mais ce que j'aimerais comprendre, c'est comment quelqu'un qui publie un article / message sur un autre site qui n'a rien à voir peut-il le publier sur mon livre d'or ? en règle générale.

Que quelqu'un le fasse volontairement, que ce soit du spam, pourquoi pas.
J'ai justement réglé le problème du spam avec le captcha.
Mais là c'est quand même étrange
J'avais pensé à un problème d'hébergement mutualisé mais là ça frise la paranoïa '^^

Je vais tenter de sécuriser un peu plus (fichier de connexion protégé par un htaccess, réduction des droits de l'utilisateur sur la base etc.). Je ne sais même pas si c'est un problème lié au php ou à mysql...

[heretik25]

Si ton formulaire est sécurisé pour autoriser l'insertion uniquement aux utilisateurs enregistrés, je ne vois pas comment quelqu'un arrive a alimenter ta base de données.

On peut voir le code qui permet l'ajout du commentaire par l'utilisateur et le code permettant l'insertion des données en base ?

[frohike]

Aucun enregistrement, c'et un message que l'on peut poster en mettant un nom, prénom et une adresse e-mail, c'est tout.

Voici mon code, je n'ai mis que les opérations liées à mysql :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
include "connect.php"; // contient les informations de connexion
 
$sql = "INSERT INTO matable VALUES('','$var1', '$var2', '$var3', '$var4','$var5','$var6')"; 
 
$result_req = mysql_query($sql) or die('Erreur SQL '.$sql.'<br>'.mysql_error());

Mon code est rudimentaire (c'est un site que j'avais fait il y a plusieurs années) mais jusqu'à maintenant c'était fonctionnel.

[heretik25]

Si il n'y a pas besoin de s'enregistrer, c'est sûrement des robots qui en profitent.

Le captcha fonctionne correctement ?

[frohike]

Le captcha fonctionne parfaitement, il date un peu aussi. Je vais peut-être le changer. Les robots arriveraient à lire le captcha et à publier du contenu. ça serait du spam, je comprendrais, mais là ils n'ont rien d'autre à faire ?

bon j'essaie de le changer alors, merci :-)

[Bovino]

Ben précisément, si ce sont des robots, non, ils n'ont rien d'autre à faire !

[frohike]

Oui, ce que je voulais dire c'est que pour me proposer du viagra ou un sac vuitton je comprendrais, mais pour m'indiquer une recette de porc au caramel ou un avis sur un film, c'est plus surprenant

[heretik25]

La pub automatique touche toutes sortes de produits