Faille XSS dans le code wiki moteur de recherche ?!

Réponses

• Stéphane Member, Former PluXml Project Manager

  mai 2010

  Bonjour smed79
  
  Peux-tu me mailer pour m'expliquer comment reproduire le problème en me donnant des détails.
  Merci d'avance
  
  Stéphane

  Consultant PluXml

  Ancien responsable et développeur de PluXml (2010 à 2018)
• amoweb Member

  mai 2010

  Oui il est possible de faire afficher une boite de dialogue en écrivant une requête du type:
  <script type=text/javascript>alert(10)</script>
  Cependant on ne peut pas réellement parler de faille puisque les effets se trouvent du coté client.
• smed79 Member

  mai 2010 mai 2010 modifié

  pour resoudre
  
  dans le code Ajouter un moteur de recherche dans une page statique
  
  chercher:
  

  $searchword = strtolower(addslashes($_POST['searchfield']));
  

  remplacé par:
  

  $searchword = strtolower(htmlspecialchars($_POST['searchfield']));
  

  @++
• Loup-des-Neiges Member

  mai 2010

  $searchword = strtolower(addslashes(htmlspecialchars($_POST['searchfield'])));
  

  Plutôt non ?
• Rathorian Member

  mai 2010

  Oui pour

  searchword = strtolower(addslashes(htmlspecialchars($_POST['searchfield'])));
  

  Ou encore un peu mieux

  searchword = strtolower(addslashes(htmlentities($_POST['searchfield'])));