Ok je présente mes excuses à tout le monde. Merci Spaulding.

je n'est toujours pas réussi mais je vais mieux m'expliquer.

Alors déjà le fichier et un fichier php pur sans même une en-tête html la page html généré et donc vide y'a pas de source je n'appelle cette page que depuis l'url directement (http://127.0.0.1/test/index.php?patate=gomanx) et ensuite je la modifie pour utiliser l'xss (http://127.0.0.1/test/index.php?patate=<script>alert("patate");</script>).

Si vous avez d'autres questions et que vous n'avez pas fui je serais plus clair.

il me semblait que le php ne se voyait pas quand on voulait voir les source. Et comme je lès dit il n'y a que du php dans ma page donc rien ne s'afiche dans les source

tu ne parles pas a un mur je te pose une question

EDIT : Quel code HTML est généré quand tu appelles le script php avec du HTML dans le paramètre «patate» ?!?
Deux pages pour en arriver là. Deux pages. Il va peut-être falloir que tu commences à te poser des questions.

je suis désole mais ça n'est pas très comprehensible

ouais je saisi pas tout la. Quand tu dis 2 page ne peut ont pas tout simplement appeler directement la page php comme ça (http://127.0.0.1/test/index.php?patate=gomanx)

effectivement cela n'a rien à voir avec le script que j'ai donné avant mais j'avais aussi testé :

<?php
echo "hello, $_GET[patate]";
?>

et suite à certaine recommandation :

<?php
echo ("hello, $_GET[patate]");
?>

ensuite se que ça génère ça semble évident. C'est une page blanche et c'est pas html mais php.

le fichier php complet et comme ça :

<?php
   if($_GET[patate] == gomanx)
   {
      echo "Hello, gomanx";
   }
?>

Je sais que ce script est stupide mais c'est pour tester.

je ne dit pas grand chose, mais en fait je sais rien de plus.

la source et comme précédemment dit.
Oui JS est activée.
Je pense que ça vient de la config wamp mais je ne c'est pas d'où ça pourrait provenir.

effectivement Bon sinon on pourrais revenir à nos moutonSSSSS

désolé pour les fautes pitoyables.

Oui le http:// est la.

je n'ai pas configuré wamp après install

ok desolé.

Je crée mon fichier php comme dit plus haut ensuite je le balance sur le serveur apache de wamp5 puis le charge dans mozilla (127.0.0.1/test/index.php?patate=gomanx) je test la faille xss dans l'url (127.0.0.1/test/index.php?patate=<script>alert("patate");</script>) et quand je valide de la touche entré rien ne ce passe sauf dans l'url les caractaire spéciaux sont remplacaient par des %23 ou autre.

je ne sais rien de plus.

non il me change le code par des %24script%27 ou un truc du genre

les config de wamp 5 deja regarder mais avec tous se bordel je ne sais pas ou chercher

Je crée un page pspad avec un script genre :

if($_GET[patate] != 0)
{
    echo "hello, $_GET[patate]";
}

je colle la page dans le serv wamp et je lance dans mozilla (127.0.0.1/test/test.php?patate=gomanx)
je modifie l'url en 127.0.0.1/test/test.php?patate=<script>alert("patate");</script>

j'utilise pspad.

Je comprend pas ce que ça va changer. Peut tu m'expliquer.

cela viendrais t'il de l'entête généré par pspad ?

Bonjour je cherche à faire des test sur les faille xss, donc en local, mais ça ne fonctionne pas.

je n'ais pas internet chez moi
j'utilise wamp5

en clair des que je met un caractair genre < ou " l'url les transforme en code html et les rend inofencif.

Quelqu'un pourait t'il m'aider.
Merci.