[lordzak]

OUi euh en fait c'est juste pour signaler que les procédures de sécurité sont vraiment pénibles au niveau des textbox :
l'autre jour Gob et moi avons galéré (merci à S0410N3 au passage qui nous a aidé) pour nous échanger des mails... simplement parcequ'ils n'étaient pas envoyés mais il n'y avait aucun message d'erreur (doit y avoir un pb au niveau mysql ; quand y'a un char spécial ca ne passe pas)

En fait c'est pareil dans la shootbox : les caractères tel que "+", ">", "<", "&" ou autre sont parfois effacés (parfois seulement en fin de chaine ou après guillemets) avec la suite du message... c'est hyper pénible. Genre on met un smiley tel que ">_<" c'est mort. Mais il y a plus génant : une url par exemple comme un http://site.com/la-page.php&id=15#16 bah elle passe pas...

Je comprend que ce sont des mesures de protection, mais pourquoi un addslashes() pour l'insertion dans la bdd et un stripslashes(htmlentities()) pour l'affichage ne suffiraient pas ?

[Gardel]

http://www.newbiecontest.org/punbb/viewtopic.php?id=1338
mwahaha ^^

ouais le truc avec la messagerie cay louche, le champs contenant les messages ne seraient pas en varchar pas hasard ?

[S0410N3]

Non c'est lié à autre chose.
Ca a été rectifié.

[Gardel]

Merci S0410N3 !

[lordzak]

C'était quoi ?

C'est résolu la shootbox ?

Edit : apparemment non :
essayez ça par exemple : <+'&"#>

[lordzak]

Bon c'est juste pour signaler qu'au niveau de la messagerie c'est de plus en plus le bordel

2 bugs détectés par hazard en échangeant un petit peu :
- Y'a un stripslashes ultra efficaces déjà (les "\" sont gnackés dans leur totalitée)
- le "" donne une flèche au lieu du big_smile

Je ne reviens pas sur la shootbox je sais que vous galérez

[Gardel]

j'ai mis un '&' et ça a fait disparaître la suite du message

[Perfect Slayer]

- le "" donne une flèche au lieu du big_smile

Ca je dois pouvoir y remédier.. Je regarde ca ce matin.
Je vais aussi tenter de voir l'autre point.. mais pas sur :p

+ edit : Pour le smiley et les quote quelqu'un a déjà du passer par là. Sinon pour ce qui est du "&" je regarde là..

+ edit : C'est corrigé : c'était du au fait que le "&" passait dans le post comme la déclaration d'un nouveau parametre.. J'ai utilisé les regexp en JS pour le changer en hexa (%26) et du coup ça passe tout seul. Merci pour la remarque

[lordzak]

Oki bon c'est super mais il reste encore **No Sms** trucs :

Bon le "+" ne passe pas mais il y a autre chose qui risque de poser plus problème ; c'est le code ascii de la forme %xx
... en fait le code ascii semble être interprété...
j'ai par exemple essayé qqchose comme ca : http://site.com/page%20index.htm >> un espace est mis (bon et l'URL est alors cassée)

Mais ca ne risque pas de poser un pb de faille XSS ?
j'ai un peu peur là tout d'un coup...

[Perfect Slayer]

il y a autre chose qui risque de poser plus problème ; c'est le code ascii de la forme %xx
... en fait le code ascii semble être interprété...
j'ai par exemple essayé qqchose comme ca : http://site.com/page%20index.htm >> un espace est mis (bon et l'URL est alors cassée)

Mais ca ne risque pas de poser un pb de faille XSS ?
j'ai un peu peur là tout d'un coup...

Bah il n'y a que le & qui est remplacer.. Rien n'est interpréter, rien d'autre n'a changé.. Donc pas plus de raison de failles. Sinon pour le plus ca doit etre la meme histoire, je vais voir ca.

[lordzak]

Gné ??
non mais c'est ok pour le XSS je viens de vérifier.

Par contre le code %20 est le code correspondant à l'espace ; et si y'en a dans un lien il n'est pas pris en compte. Le %20 permet de le représenter pour lier les 2 parties de l'URL ca peut être pas mal d'adapter ça non ?

Edit : t'as du mal avec les participes passés

[Gardel]

Qu'il est chiant ce lordzak
Il veut une shoutbox parfaite ^^

[lordzak]

Bah des URL avec des espaces y'en a
et si tu veux écrire un % dans la shootbox bah ca passe pas...

Edit : genre si tu veux frimer avec ton pourcentage de réussite

[Perfect Slayer]

Bah des URL avec des espaces y'en a

Négatif : il n'y en a pas. Ton navigateur les modifie en %20 avant d'effectuer la requete.

[lordzak]

Oui je sais ça mais la shootbox interprète les espaces et les %20 comme ne faisant pas parti de l'URL ; donc si tu tapes une URL avec un %20 pour montrer que ce qui suit fait parti du lien, bah ce n'est pas détecté...