Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
12/06/2010, 15:16:11
(Modification du message : 12/06/2010, 22:02:11 par mabelle.)
Bonjour à tous, j'essaie de trouver la meilleur solution avec Made Simple pour empêcher une écriture de lien dans un champ texte.
J'ai fait des recherches mais j'avoue me sentir un peu perdue et ne pas trop savoir où régler le problème...
J'ai un simple formulaire dont les données s'inscrivent dans une bd avec formbuilder et ensuite les info de la bd s'inscrivent sur ma page avec formbrowser.
Il y a un petit comique qui n'arrête pas d'envoyer l'url de pages très peu recommandables.
J'aurais dû penser avant à la sécurité mais bon, maintenant que j'ai un problème j'y pense !
C'est quand même pas dramatique, en attendant, je le supprime à la main.
Merci d'avance de votre aide 
Citation :#~~~~~ NE PAS SUPPRIMER CE BLOC ~~~~~
#~ Version du CMS: 1.6.7
#~ Nom de l'hébergeur :
#~ Informations Système :
#~ ----------------------------------------------
#~ Cms Version: 1.6.7
#~ Installed Modules:
#~ * CMSMailer: 1.73.14
#~ * FileManager: 1.0.2
#~ * MenuManager: 1.6.2
#~ * ModuleManager: 1.3.2
#~ * News: 2.10.4
#~ * nuSOAP: 1.0.1
#~ * Printing: 1.0.4
#~ * Search: 1.6.1
#~ * ThemeManager: 1.1.1
#~ * TinyMCE: 2.6.2
#~ * Calendar: 0.8.2
#~ * FormBuilder: 0.5.11
#~ * CGExtensions: 1.15.2
#~ * Album: 0.9.3
#~ * NMS: 2.2.2
#~ * FormBrowser: 0.2.3
#~
#~ Config Information:
#~ * php_memory_limit: 64M
#~ * process_whole_template: false
#~ * max_upload_size: 30000000
#~ * default_upload_permission: 664
#~ * assume_mod_rewrite: true
#~ * page_extension: .html
#~ * internal_pretty_urls: false
#~ * use_hierarchy: true
#~ Php Information:
#~ * phpversion: 5.2.9
#~ * md5_function: On (Vrai)
#~ * gd_version: 2
#~ * tempnam_function: On (Vrai)
#~ * magic_quotes_runtime: Off (Faux)
#~ * memory_limit: 64M
#~ * max_execution_time: 30
#~ * safe_mode: Off (Faux)
#~ * session_save_path: /tmp (1777)
#~ * session_use_cookies: On (Vrai)
#~ Server Information:
#~ * Server Api: cgi
#~ * Server Db Type: MySQL (mysql)
#~ * Server Db Version: 5.0.90
#~ ----------------------------------------------
#~~~~~ NE PAS SUPPRIMER CE BLOC ~~~~~
C'est en forgeant que l'on devient forgeron !
Messages : 8,242
Sujets : 58
Inscription : Dec 2007
Réputation :
0
12/06/2010, 15:44:28
(Modification du message : 12/06/2010, 15:56:42 par Jean le Chauve.)
C'est à double tranchant, si tu interdis l'écriture d'url, plus personne ne pourra t'envoyer un lien.
Si ce sont tout le temps les mêmes url que ton comique t'envoie, tu peux ajouter une tag refusant la validation si la valeur entrée est égale à une des urls prohibées.
// Le "i" après le délimiteur du pattern indique que la recherche ne sera pas sensible à la casse
if (preg_match("/siteDuComique/i", $_POSTdeTonChampTexte)) {
refuser_ la_validation();
}
Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
Bonjour Jean et merci pour ta réponse.
Le formulaire en question est là comme pétition et donc, personne n'a à envoyer de lien. Seulement, nom, prénom, ville et pays.
Le petit comique n'est pas fou, avec l'url, il poste toujours des caractères bidons et donc, pas moyen de faire de validation comme tu le proposes, à moins que l'on puisse valider : "si la valeur contient..." ?
Voici à quoi ressemble ses post: aljhobiaude <a href="....."> jaaksdjfpo
Comme je le disais, c'est juste chiant et facilement supprimable....
C'est en forgeant que l'on devient forgeron !
Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
Encore moi, comme je terminais mon dernier post, je suis retourné et le vilain avait encore sévit. Ce n'est pas la même url que les autres fois.... Il en a plusieurs et j'ai commencé à les prendre en note au cas où ça me servirait.....
C'est en forgeant que l'on devient forgeron !
Messages : 8,242
Sujets : 58
Inscription : Dec 2007
Réputation :
0
Tu peux aussi tenter les logs serveur et voir s'il n'a pas un ip fixe. Si c'est le cas, interdit-le de séjour avec ton .htaccess.
J'ai fait cela pour quelques domaine : ip russe, chinoises...
Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
Re-bonjour Jean, c'est une bonne idée, je n'avais même pas réalisé qu'on avait un log qui nous permettait de voir l'ip de nos visiteurs....
Bon, je suis allé vérifié et j'ai pris en note une adresse ip qui je crois pourrais être la bonne...
Mais faut quand même être certain de son coup non ?
De toutes façons, je surveille ce qui se passe et je vais bien voir si c'est toujours la même adresse....
Merci pour les bons conseils,
A+
C'est en forgeant que l'on devient forgeron !
Messages : 10,864
Sujets : 164
Inscription : Dec 2008
Réputation :
0
l'IP sera un court répis
je serais plus tenté d'intégré une balise qui filtrerais les message contenant des regex type "<a" et effectuerait des requêtes de suppression à la volée
aucun affichage et une suppression au passage
Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
Bonjour Bess,
Oui c'est une idée et on fait ça comment ? Peux-tu me donner une piste ?
Sinon, je vais peut-être laissé aller. C'est une pétition que je gère bénévolement et je vais choisir la solution la plus simple et me demandant le moins de temps....
Merci
C'est en forgeant que l'on devient forgeron !
Messages : 10,864
Sujets : 164
Inscription : Dec 2008
Réputation :
0
CONNAISSANCES REQUISES : PHP / SQL / CMSMS habitué
sans te faire l'UDT complet mais en restant ultra simple
delete from ma_table_pétition where mon_message like '%<a%'
ou
delete from ma_table_pétition where mon_message like '%<a%'
ca dépend de comment est enregistré le message de ton sondage : vérifie en bdd.
dans une UDT tu te connect à la BDD (cherche 5 minute sur le forum pour ca, on en parle toutes les semaines)
tu exécute la requête du dessus en personnalisant le nom de table + nom de colonne
tu enregistre ton UDT
tu fait appel à ton UDT depuis la page qui liste les résultats, du coup au chargement de la page il va supprimer les merdes PUIS afficher la liste (épurée)
Messages : 136
Sujets : 12
Inscription : Oct 2008
Réputation :
0
Re-bonjour Bess,
Bon, j'ai quelques bases mais je devrai "gosser" un peu (comme on dit ici au Québec) et me documenter. Je crois pouvoir y arriver.
Je prends en note les info que tu m'as donné et je vais voir ce que je vais décider de faire...
Merci pour ton aide toujours bien appréciée !
C'est en forgeant que l'on devient forgeron !
Messages : 8,242
Sujets : 58
Inscription : Dec 2007
Réputation :
0
14/06/2010, 19:14:44
(Modification du message : 14/06/2010, 19:15:06 par Jean le Chauve.)
bess a écrit :l'IP sera un court répis
je serais plus tenté d'intégré une balise qui filtrerais les message contenant des regex type "<a" et effectuerait des requêtes de suppression à la volée
aucun affichage et une suppression au passage Pas bon, tu supprimeras tous les messages contenant la balise <a, y compris ceux des clients qui veulent faire part de leur adresse internet.
Messages : 10,864
Sujets : 164
Inscription : Dec 2008
Réputation :
0
yep mais :
Citation :Le formulaire en question est là comme pétition et donc, personne n'a à envoyer de lien. Seulement, nom, prénom, ville et pays.
pas d'url attendue, ma méthode est bonne
Messages : 8,242
Sujets : 58
Inscription : Dec 2007
Réputation :
0
15/06/2010, 09:49:18
(Modification du message : 15/06/2010, 09:52:02 par Jean le Chauve.)
Exact Bess. Ça m'était sorti de la tête.
Une regex de validation serait plus appropriée : pourquoi mettre en table pour l'effacer après ?
if (preg_match("#<#U", $_POSTdeTonChampTexte)) {
refuser_ la_validation();
}
Ainsi toute entrée avec le caractère "<" refusera la validation.
Il y a encore la technique du champ qui doit rester vide.
|
