Bonjour,
Depuis peu, des gens pas très cools me font des injections sql par le biais de page de connexion sur mon serveur. J'ai lu la doc sur le cross site scripting mais je reste coincée au niveau de l'intégration de htmlspecialchars dans mon code. Au lieu de m'afficher le texte normal, il m'affiche tout ainsi que le nom des balises sur ma page !!!
Au départ j'avais ce code là :
Tout s'affiche normalement, mes input sont niquels etc...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7 if (!$_SESSION["membre_prive"]) { $affiche_login ="Utilisateurs privés : Identifiant <input id='id' size='16' name='id' /><br />Mot de passe <input id='motdepasse' type='password' size='10' name='motdepasse' /> <input type='submit' value='Go' name='submit2' /><br />Pas encore <a href='./membres.php'>membres ? </a> <a href='./Aide.php'>Besoin d'aide ?</a>"; } else { $affiche_message ="<FONT SIZE='1' FACE='Arial' COLOR='#426F85'><B> Bonjour !</B></FONT>";
Puis j'ai mis à jour.. Et maintenant mes input ne s'affichent plus en "graphique" html mais en texte !!! Et les autres balises pareil du genre <font face="verdana">Bonjour !</font> au lieu de juste "bonjour !" Je suis vraiment perdue
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9 if (!$_SESSION["membre_prive"]) { htmlspecialchars($affiche_login); $affiche_login = htmlspecialchars("Utilisateurs privés : Identifiant <input id='id' size='16' name='id' /><br />Mot de passe <input id='motdepasse' type='password' size='10' name='motdepasse' /> <input type='submit' value='Go' name='submit2' /><br />Pas encore <a href='./membres.php'>membres ? </a> <a href='./Aide.php'>Besoin d'aide ?</a>", ENT_QUOTES); } else { htmlspecialchars($affiche_message); $affiche_message = htmlspecialchars("<FONT SIZE='1' FACE='Arial' COLOR='#426F85'><B> Bonjour !</B></FONT>", ENT_QUOTES);
Partager