Bonjour à tous,

je développe actuellement un script de Livre d'or nommé EXlor, pour
vérifier la compatibilité avec les hébergeur et vérifier qu'il n'y a pas
de BUG ou d'erreurs, et pour avoir l'opinion des utilisateurs pour
amiolérer certaines parties de l'administration, je lancerais une Beta
Test à la fin du mois de Juin du script.
La démonstration et l'inscription à la Beta Test se passe ici :
http://exinsidephp.free.fr/
En vous remerciant d'avance pour votre aide.

Steuf

Steuf a écrit :

> je développe actuellement un script de Livre d'or nommé EXlor, pour
> vérifier la compatibilité avec les hébergeur et vérifier qu'il n'y a pas
> de BUG ou d'erreurs, et pour avoir l'opinion des utilisateurs pour
> amiolérer certaines parties de l'administration, je lancerais une Beta
> Test à la fin du mois de Juin du script.
> La démonstration et l'inscription à la Beta Test se passe ici :
> http://exinsidephp.free.fr/


avant de m'inscrire, j'aimerai bien voir les sources. Sans source
pas d'inscription. Qu'on se le dise. C'est une drole de facon
que de recolter des adresses email.

Steuf wrote:
> Bonjour à tous,

Bonjour.

> je développe actuellement un script de Livre d'or nommé EXlor,

Tient, encore un. Il apporte quoi de nouveau et d'innovant celui ci ?

> pour
> vérifier la compatibilité avec les hébergeur

Ça tu ne pourras jamais faire une liste exaustives d'hebergeurs
compatibles. Par contre avec quelque bonnes pratiques tu peux sans trop
de problème faire des scripts totalement portables.

je lancerais une Beta
> Test à la fin du mois de Juin du script.

Cela me fait bien rire, j'avais besoin de detente. Une beta test en
nombre limité, comme dans les jeux video en ligne. C'est du serieux
(mais ca ne le fait pas du tout...)

Bon, maitenant, ce que j'ai notifié :

- esseyer de mettre des " dans tes champs lors de l'insertion d'un
message, cela va pourrir le champs input dans le cas d'une erreur :

<input type="text" ... value="lalal"bubu>

Ce genre de bétises, même si elle n'est pas grave ici peut être
catastrophique dans d'autres cas.

- Tu geres les quotes n'importe comment. Esseyer d'ajouter des ' dans
tes chaines de caractéres. Paaf, affichage de \' \'

Bref, encore du boulot. Sachant que je suis en modem 5K (je n'ai pas
oublié le 6, c'est vraiment 5) je n'ai pas tout regarder à fond. Je ne
parle même pas du html ignoble qui est derrière.

Bref, bonne chance dans ta reinvention de la roue.

--
Guillaume.

Marc a écrit :

> avant de m'inscrire, j'aimerai bien voir les sources. Sans source
> pas d'inscription. Qu'on se le dise. C'est une drole de facon
> que de recolter des adresses email.

Ho oui bien évidemment je n'ai vraiment que ça à faire que de récolter
des adresse email pour faire joujou avec ou les vendre.

Maintenant si vous trouvez la méthode louche, ça ne tient qu'à vous
même, le script n'est pas terminé, donc aucune distribution du code.
et si cela vous gêne je me dispenserais bien de votre aide.

Guillaume Bouchard a écrit :

> Tient, encore un. Il apporte quoi de nouveau et d'innovant celui ci ?

Ca, ça fait avancer les choses.

> Ça tu ne pourras jamais faire une liste exaustives d'hebergeurs
> compatibles.

Le but n'est pas de faire un listing, pas grâve, mauvaise apprèciation...

> Par contre avec quelque bonnes pratiques tu peux sans trop
> de problème faire des scripts totalement portables.

Cela dépend grandement des configurations des hébergeurs, des tests en
situation réél valent mieux que de longs discours sans intêret.


> Cela me fait bien rire, j'avais besoin de detente. Une beta test en
> nombre limité, comme dans les jeux video en ligne. C'est du serieux
> (mais ca ne le fait pas du tout...)

Si vous êtes capable de gérer une Beta Test d'une centaine de personnes
seuls je vous félicites, encore une remarque désobligeante pour rien.

>
> Bon, maitenant, ce que j'ai notifié :
>
> - esseyer de mettre des " dans tes champs lors de l'insertion d'un
> message, cela va pourrir le champs input dans le cas d'une erreur :
>
> <input type="text" ... value="lalal"bubu>
>
> Ce genre de bétises, même si elle n'est pas grave ici peut être
> catastrophique dans d'autres cas.

Il ne manque pas les " dans mes champs, donc désolé, mais sans exemple
concrêt je ne vois absolument pas de quoi vous parlez, surtout avec une
explication aussi incompléte et peu claire.

>
> - Tu geres les quotes n'importe comment. Esseyer d'ajouter des ' dans
> tes chaines de caractéres. Paaf, affichage de \' \'

Ha où ? Exemple ? De même, comment pouvez vous affirmer cela sachant que
vous ne connaissez pas mon code PHP. Comment affirmer que je gère mal
les quote sans même savoir comme je traite mes chaînes en php...

>
> Bref, encore du boulot.

Oui en effet, le script n'est pas terminé, mais pour m'en sortir une
pareil...

> Sachant que je suis en modem 5K (je n'ai pas
> oublié le 6, c'est vraiment 5) je n'ai pas tout regarder à fond. Je ne
> parle même pas du html ignoble qui est derrière.

Code html ignoble, bon d'accord :

http://validator.w3.org/check?uri=ht...tomatically%29

Résultat : Code valide

Page d'envoi :

http://validator.w3.org/check?uri=ht...3Fexgo%3Dposte

Résultat : Code valide


Mais bon vous devais être parfait je n'en doute absolument pas...

>
> Bref, bonne chance dans ta reinvention de la roue.


Je ne doute en rien que vous avez de l'expèrience, mais vos propos pour
le moins insultant ( Moi je les trouves comme tel ) ne m'aide pas, et
après reflexion je me dispenserais de la votre, merci aux gens comme
vous avec lesquelles on avance à rien et qui pourraient facilement
décourager les bonnes volonté qui essayent d'aider la communauté et les
Webmaster en essayant de faire du bon travail et ce gratuitement sans
rien avoir en retour.

Maintenant j'ai essayé de développer un script simple d'emploi, avec un
code HTML propre sans utiliser de table ( Comme beaucoup trop le font ),
et simple d'intégration ( Intégration automatique dans des sites avec
des inclusions conditionnelles en php ). Et désolé je n'ai jamais eu la
prétention de dire que j'allais réinventer quoique ce soit.

Allé salut

> je développe actuellement un script de Livre d'or nommé EXlor,

Un de plus... Enfin pour une fois on a pas "php" dans le nom, c'est déjà
pas mal.

La note n'est pas sécurisée (apparition de tous les messages en "barré")
Je n'ai pas joué à faire des injections SQL, le soit disant antiflood basé
sur l'adresse IP m'emmerde pour faire des tests efficaces et j'ai autre
chose à foutre que de déployer de l'ip spoofing. Si tu veux qu'on te
secoue le biniou, enlève cette merde, on a pas de temps à perdre à
attendre le time out.
Grosso merdo, les xss classiques sont filtrées, probablement par
strip_tags.

a++;
JG

John GALLET a écrit :
>> je développe actuellement un script de Livre d'or nommé EXlor,
>
>
> Un de plus... Enfin pour une fois on a pas "php" dans le nom, c'est déjà
> pas mal.

Pourquoi employer le terme "un de plus". J'adore ces aprioris... J'avoue
que le projet n'est pas original, mais pour un premier projet qui sera
libre je n'avais pas vraiment d'idées, je me suis dit qu'avec tous les
livres d'or que j'ai pu testé aucun ne m'avait vraiment convaincu, avec
chacun leurs défaut, et j'ai voulu faire se projet pour essayer de
corriger les défauts que j'ai pu voir ici et là. Mais je n'ai aucune
prétention pour sa perfection. Mon BUT premier était déjà de faire un
apprentissage et voir ce que serait le développement d'un SCRIPT,
apprentissage qui a dépassé mes espérences quand je vois tous les
paramétres qu'il faut prendre en compte.

>
> La note n'est pas sécurisée (apparition de tous les messages en "barré")

Oui exact, un oubli ( Les tests servent à ça ... A trouver les oublis ça
arrive à tout le monde... ). Oubli que je corrigerais, c'est noté.

> Je n'ai pas joué à faire des injections SQL,

Chaque requête Mysql est théoriquement protégé contre les injections Mysql.

> le soit disant antiflood basé
> sur l'adresse IP

A vrai dire à l'époque c'est le seul moyen que j'ai trouvé, même s'il
est vrai ne peut être vraiment éfficace à 100%, et j'ai cru savoir qu'il
n'y en avait pas vraiment, s'il existe j'aimerais bien connaître la
technique, je ne demande qu'à apprendre.

> m'emmerde pour faire des tests efficaces et j'ai autre
> chose à foutre que de déployer de l'ip spoofing.

Je ne peux me permettre de le désactiver dans cette version publique
cela aménerait à des abus... Cette version est une version de
démonstration à la base et non de test, si vous souhaiter vraiment
m'aider ( Et j'en serais ravit ) je pourrais mettre en place le script
ailleurs, je vous donnes l'url et vous pourrez faire les tests que vous
voulez ( Si vous ne voulez pas vous incrire à la Beta ).

> Si tu veux qu'on te
> secoue le biniou, enlève cette merde, on a pas de temps à perdre à
> attendre le time out.

Ce n'est pas me secouer le Biniou dont j'ai besoin, je veux juste voir
quelles erreurs de codage j'ai pu faire, et pour ce faire j'ai besoin de
personnes d'expérience comme vous, mais à priori mon projet est mal
perçu ici, dommage, je ne m'attendais pas à un accueil si "chaleureux",
j'ai toujours eu une bonne image de la communauté PHP, je crois que j'ai
du me tromper.


M'enfin si vous ne voulez pas m'aider, ce n'ets pas la peine de (
Pardonnez du terme ) dégueuler sur le script et moi même, parce que les
remarques négatives que j'ai eu ici ( L'air de dire, lui il croit tout
réinventer, c'et encore un prétentieux ) ne m'encourage guère.

J'ai toujours dit que tant que mon script ne sera pas prêt à être
diffusé ( Surtout à cause de failles de sécurité ) il ne le sera pas. Je
n'ai pas assez d'expérience pour tout prévoir, d'où l'utilité d'avoir
des gens d'expérience à la Beta Test. Avant tout c'est un projet
personnel qui sera sans doute diffuser pour en faire profiter à ceux qui
ne connaissent rien au PHP.

Donc maintenant que cela soit clair, si je ne suis pas le bienvenu ici,
qu'on me le dise tout de suite au lieu de tourner autour du pot. Donc si
vous voulez m'aider merci d'éviter d'être aussi agressif et d'avoir des
apriori sans savoir dans quel but je fais ce script.

> Grosso merdo, les xss classiques sont filtrées, probablement par
> strip_tags.

En parti oui, j'utilise aussi preg_replace pour tout ce qui est code
Javascript malicieux.

>
> a++;
> JG

Steuf

>> Un de plus... Enfin pour une fois on a pas "php" dans le nom, c'est déjà
>> pas mal.
>
> Pourquoi employer le terme "un de plus". J'adore ces aprioris... J'avoue
> que le projet n'est pas original, mais pour un premier projet qui sera
> libre je n'avais pas vraiment d'idées, je me suis dit qu'avec tous les
> livres d'or que j'ai pu testé aucun ne m'avait vraiment convaincu, avec
> chacun leurs défaut, et j'ai voulu faire se projet pour essayer de
> corriger les défauts que j'ai pu voir ici et là.

Je pense qu'il dit "un de plus" pour dire que ce n'est pas original. En plus
tu le dis toi même...
A ta place j'aurai répondu pourquoi ce n'est pas un de plus (et donc qu'est
ce qu'il a de plus que les autres, quels sont les défauts dont tu parles)

> je veux juste voir quelles erreurs de codage j'ai pu faire
> [...]
> J'ai toujours dit que tant que mon script ne sera pas prêt à être diffusé

Si tu veux qu'on te donne les erreurs de codage que t'as faites, ca serait
quand même mieux que tu nous montre le code.
Je comprends pas ton raisonnement : tu veux pas donner le code parceque
sinon on trouverait les failles. Donc tu nous montre pas le code, mais tu
nous demande de trouver les failles ?!

> avoir des apriori sans savoir dans quel but je fais ce script.

Il ne tient qu'à toi de les lever.

>> Grosso merdo, les xss classiques sont filtrées, probablement par
>> strip_tags.
>
> En parti oui, j'utilise aussi preg_replace pour tout ce qui est code
> Javascript malicieux.

Il y a probablement des problèmes ici (mais sans voir le code c'est dur à
dire) si tu comptes empecher tout abus de script avec des regexp (on pense
jamais à tout).
De toutes façons, il me semble que tu executes htmlentities sur le texte,
alors j'ai du mal à voir comment faire une injection javascript.

--
Vincent

Steuf wrote:
> Guillaume Bouchard a écrit :
>
>> Tient, encore un. Il apporte quoi de nouveau et d'innovant celui ci
>> ?
>
>
> Ca, ça fait avancer les choses.

Excuse moi, mais des scripts de livres d'or, j'en vois des centaines par
jours en me balladant, ce n'est pas dirigé contre toi, c'est juste un
sentiment de lascitude.

>> Ça tu ne pourras jamais faire une liste exaustives d'hebergeurs
>> compatibles.
>
>
> Le but n'est pas de faire un listing, pas grâve, mauvaise
> apprèciation...

Le but serait plutôt de faire un script completement portable du premier
coup. Je ne dit pas que c'est facile, mais souvent, c'est plus en
prenant de tres bonne habitudes qu'autre chose que cela fonctionne.

>> Par contre avec quelque bonnes pratiques tu peux sans trop de
>> problème faire des scripts totalement portables.
>
>
> Cela dépend grandement des configurations des hébergeurs, des tests
> en situation réél valent mieux que de longs discours sans intêret.

Je pense qu'il faudrait plutot voir le test d'une autre manière, voir
les options de php qui changent habituellement et faire des tests à la
main chez toi.

Normalement, si tu geres :

- Session à la main
- Magic quote
- Error reporting, register globals off.
- Requetes SQL basiques.
- Pas de lib exotiques
- Short open tags
- ..(quelques autres subtilités)

Il n'y a aucun problèmes.

>> Cela me fait bien rire, j'avais besoin de detente. Une beta test en
>> nombre limité, comme dans les jeux video en ligne. C'est du
>> serieux (mais ca ne le fait pas du tout...)
>
>
> Si vous êtes capable de gérer une Beta Test d'une centaine de
> personnes seuls je vous félicites, encore une remarque désobligeante
> pour rien.

Pardon, c'est que pour moi les beta limitées c'est une espece de
technique d'elitisme qui m'enerve.

Pourquoi ne pas tout simplement proposer le script en téléchargement (il
va être libre à ce que j'ai compris, non ?) et attendre les retours en
précisant bien qu'il n'est pas encore utilisable en production.

Cela te coutes quoi ? Alors que là tu risques de te retrouver avec un
echantillon de testeurs non homogene (je doute que tu es 10 000
propositions, le fait de s'inscrire rebute toujours)


> Il ne manque pas les " dans mes champs, donc désolé, mais sans
> exemple concrêt je ne vois absolument pas de quoi vous parlez,
> surtout avec une explication aussi incompléte et peu claire.

Pardon. Esseye d'inserer un commentaire avec comme mail tototo"tototo,
il va te dire que le mail est faux (normal) et t'afficher une partie du
champs en dehors du champs.

Cela se regle avec htmlspecialchars()

> Ha où ? Exemple ? De même, comment pouvez vous affirmer cela sachant
> que vous ne connaissez pas mon code PHP. Comment affirmer que je gère
> mal les quote sans même savoir comme je traite mes chaînes en php...

Esseye d'inserer un commentaire avec des quotes en te trompant dans le
commentaire, il te le reaffiche avec des backslashes.

> Code html ignoble, bon d'accord :
>
> http://validator.w3.org/check?uri=ht...tomatically%29

Bravo, ce que je trouve ignoble c'est l'affichage des message et bien
que le script d'édition html soit vraiment bien fait, cela fait quand
meme toujours du html crade.

Puis le code valide ne fait pas tout. Mais bon, aller, j'avoue, j'ai tord

> Mais bon vous devais être parfait je n'en doute absolument pas...

Ma mere me le dit souvent.

> Je ne doute en rien que vous avez de l'expèrience, mais vos propos
> pour le moins insultant ( Moi je les trouves comme tel ) ne m'aide
> pas

Donc on va considerez que je m'excuse, le but n"était pas d'être
insultant mais de faire part de ce qui me chiffonait. Étant sur les
nerfs en ce moment, j'ai été un peu violant. Désolé.

> et après reflexion je me dispenserais de la votre,

Tu noteras quand même les deux petits bug que j'ai noté.

> merci aux
> gens comme vous avec lesquelles on avance à rien et qui pourraient
> facilement décourager les bonnes volonté qui essayent d'aider la
> communauté

Tu ne crois pas qu'en faisant une beta "ouverte" cela aidera plus ? Cela
permetra de faire progresser ton script plus vite, cela permettra à
d'autre de voir ton code et de progresser.

> Maintenant j'ai essayé de développer un script simple d'emploi, avec
> un code HTML propre sans utiliser de table

Ça je t'en félicite. Sauf qu'a partir du moment où il y a des smileys
jaunes qui clignottent, ce n'est plus propre à mes yeux...

Je citerais un passage de ta discussion avec John :
>> Grosso merdo, les xss classiques sont filtrées, probablement par strip_tags.
>
>
> En parti oui, j'utilise aussi preg_replace pour tout ce qui est code Javascript malicieux.

À mon avis c'est une mauvaise méthode. Il ne faut pas tenter de
supprimer ce qui est dangereux, mais il faut soit le rendre inactif
(htmlspecialchars), soit laisser passer ce qui est autorisé. La
technique de supression est dangereuse car elle laisse toujours une
chance de ne pas avoir prévu autre chose.

Bref, en conclusion, j'ai apprit une chose, ne pas venir ici quand je
suis énérvé à la base. Maitenant je te conseil d'apprendre une chose, la
critique, même virulente, doit être prise de façon positive, si tu relit
mon message, bien que mal expliqué, je t'ai quand même demontré deux
erreurs.

Aller, bonne chance ;o)

--
Guillaume. H-1 Math. Épreuve 2/5. J - 5.

Steuf a écrit :

> Ce n'est pas me secouer le Biniou dont j'ai besoin, je veux juste voir
> quelles erreurs de codage j'ai pu faire, et pour ce faire j'ai besoin de
> personnes d'expérience comme vous, mais à priori mon projet est mal
> perçu ici, dommage, je ne m'attendais pas à un accueil si "chaleureux",
> j'ai toujours eu une bonne image de la communauté PHP, je crois que j'ai
> du me tromper.
....

> M'enfin si vous ne voulez pas m'aider, ce n'ets pas la peine de (
> Pardonnez du terme ) dégueuler sur le script et moi même, parce que les
> remarques négatives que j'ai eu ici ( L'air de dire, lui il croit tout
> réinventer, c'et encore un prétentieux ) ne m'encourage guère.
....
> J'ai toujours dit que tant que mon script ne sera pas prêt à être
> diffusé ( Surtout à cause de failles de sécurité ) il ne le sera pas. Je
> n'ai pas assez d'expérience pour tout prévoir, d'où l'utilité d'avoir
> des gens d'expérience à la Beta Test. Avant tout c'est un projet
> personnel qui sera sans doute diffuser pour en faire profiter à ceux qui
> ne connaissent rien au PHP.
....
> Donc maintenant que cela soit clair, si je ne suis pas le bienvenu ici,
> qu'on me le dise tout de suite au lieu de tourner autour du pot. Donc si
> vous voulez m'aider merci d'éviter d'être aussi agressif et d'avoir des
> apriori sans savoir dans quel but je fais ce script.

je suis vraiment désolé pour cette avalanche d'avis plus ou moins
négatif. Ce que nous jugeons ici, si on peut parler de jugement,
c'est

* premierement de ne pas dispsoer des sources,
* la collecte d'adresse email qui finalement n'en n'est pas vraiment
une. Il faut savoir que par moment ce group est sujet a des SPAM
un peu deguisés.

ton initiative semble intéressante. Interessante d'autant plus que
tu defend bien ton bifteack et que visiblement tu semble avoir
penser a pas mal de facettes un peu vicieuses du web, particulierement
sur la securité.

L'ideal serait de monter ce script sur une zone de test ou tu n'aurais
pas peur des hacking. Puis de lacher les sources.