Langue
🎨 Skin viewer
Les plus téléchargés
- 1 npds_agenda415
- 2 npds_galerie384
- 3 Programmes de Technologie 1985 MEN ...381
- 4 86-Car368
- 5 photosize359
- 6 npds_annonces 357
- 7 npds_glossaire348
- 8 npds_encapsuleur343
- 9 bootstrap.png316
- 10 superhero288
Index du forum »» Road map développement »» [Résolu] - Ghost formulaire dans user
[Résolu] - Ghost formulaire dans user#1477
5Contributeur(s)
2 Modérateur(s)
Nicolas2
tu ajoute sur chaque champ StripSlashes(removeHack($NOM_DU_CHAMP))
je penses les même que sur hidden_form()
je penses les même que sur hidden_form()
Message édité par : Nicolas2 / 04-03-2021 14:28
Nicolas2
ba la session token se régénère a chaque foi avec un nouvel id, si tu l'utilise c'est bon si tu l'utilise pas tu a juste une session token.
ne serait pas plus judicieux de placer le code dans grab_globals ??
a part le session_start je voie pas comment et si tu veut juste quand tu a un formulaire il te faut une condition suplémentaire, si formulaire alors démarre session_start et la génération du token et en fin de formulaire une foi le contrôle ok tu détruit la session.
ne serait pas plus judicieux de placer le code dans grab_globals ??
a part le session_start je voie pas comment et si tu veut juste quand tu a un formulaire il te faut une condition suplémentaire, si formulaire alors démarre session_start et la génération du token et en fin de formulaire une foi le contrôle ok tu détruit la session.
Message édité par : Nicolas2 / 04-03-2021 14:21
jpb
comprend pas l'utilisation du redirect url il n'empechera pas l'execution du code php suivant !!? ne serait ce pas plutot un break un exit une fonction die ou autre (en php)
L'eau goutte à goutte finit toujours par percer la pierre...
Nicolas2
ba si le control du token échoue sa te renvoie bien sur url index non donc la suite ne s'éxecute pas a moins que je dit des connerie au kel qua tu place un acces_error();
Nicolas2
tu vire tout le sytem token et tu place simplement ca ou alors
if ($_SERVER['HTTP_REFERER'] !== $nuke_url)
{
Access_Error();
}
if ($_SERVER['HTTP_REFERER'].$NPDS_Key !== $nuke_url.'user.php'.$NPDS_Key)
Access_Error();le referrer ne peut et DOIT etre QUE $nuke_url.user.php
on considère ainsi que tout le reste c'est de la daube (navigateur trafiqué, absence de refferer ou autre referrer ... ?? en rajoutant la clef ca devient encore plus dure si le gars avait gratter plus loin pour voir l'url qui l'amenait au formulaire dans le portail .... (il doit probablement falloir globaliser la clef dans la fonction ...)
L'eau goutte à goutte finit toujours par percer la pierre...
jpb
if(!isset($_SERVER['HTTP_REFERER']))
die();
else if ($_SERVER['HTTP_REFERER'].$NPDS_Key !== $nuke_url.'/user.php'.$NPDS_Key)
die();
le referrer ne peut et DOIT être QUE l'url du site à user.php plus la clef ...
On considère ainsi que tout le reste c'est de la daube (navigateur trafiqué, absence de refferer ou autre referrer ... ?? en rajoutant la clef ca devient encore plus dur si le gars avait gratter plus loin pour voir l'url qui l'amenait au formulaire dans le portail ...
ca ca a l'air de fonctionner ...?
L'eau goutte à goutte finit toujours par percer la pierre...
Message édité par : jpb / 04-03-2021 17:14
Message édité par : jpb / 04-03-2021 17:31
Message édité par : jpb / 04-03-2021 17:33
Nicolas2
et bien voila solution trouver
pour le slash pourquoi ?
pour le slash pourquoi ?
defined('DS') || define('DS', DIRECTORY_SEPARATOR);
if(!isset($_SERVER['HTTP_REFERER']))
die();
else if ($_SERVER['HTTP_REFERER'].$NPDS_Key !== $nuke_url.DS.'user.php'.$NPDS_Key)
die();
après test je ne passe pas et résulta page blanche, donc problème régler et a suivre !
ps : supprime c'est deux compte de test de la table user xvdsdfqqvvc et Nicolas22.
ps : supprime c'est deux compte de test de la table user xvdsdfqqvvc et Nicolas22.
Message édité par : Nicolas2 / 04-03-2021 17:39