Un CMS de news
Le
Thief13
Bonjour à tous !
Voilà, je viens de commencer le développement d'un CMS de News en PHP.
"Encore un CMS !" Diront certain
En fait, si je me suis lancé là dedans, c'est parce que je n'ai rien
trouvé qui correspondait à ce que je cherchais : c.a.d. un petit CMS de
news léger que je pourrais facilement indégrer dans un autre CMS ou
simplement dans une page web.
Je l'ai mis sous la licence CeCILL ("l'équivalent" Français de la GPL),
donc vous pouvez vous servir, et/ou participer au projet !
http://newscms.kiou.net
Excusez moi si je n'ais pas posté dans le bon groupe, j'ai regardé ce
qui existait, et il m'a semblé que celui-là était le plus pertinent.
Voilà, je viens de commencer le développement d'un CMS de News en PHP.
"Encore un CMS !" Diront certain
En fait, si je me suis lancé là dedans, c'est parce que je n'ai rien
trouvé qui correspondait à ce que je cherchais : c.a.d. un petit CMS de
news léger que je pourrais facilement indégrer dans un autre CMS ou
simplement dans une page web.
Je l'ai mis sous la licence CeCILL ("l'équivalent" Français de la GPL),
donc vous pouvez vous servir, et/ou participer au projet !
http://newscms.kiou.net
Excusez moi si je n'ais pas posté dans le bon groupe, j'ai regardé ce
qui existait, et il m'a semblé que celui-là était le plus pertinent.
Poser une question
Salut,
Si je peux me permettre quelques commentaires.
- tu sépares le code métier de la présentation, c'est bien, mais
pourquoi alors mettre du HTML dans ton fichier index.php
- niveau sécurité, c'est pas top : injection SQL, XSS dans tous les sens
( addslashes ne protège pas des injections SQL, htmlentities ne protège
pas des XSS )
- plutôt que d'écrire mysql_fetch_array( $rs, MYSQL_ASSOC ), je préfère
mysql_fetch_assoc( $rs )
- tu utilises des résultats directement sans même tester le retour
$ligne = mysql_fetch_array(mysql_query($sql_sltIdNews, $link),
MYSQL_ASSOC), c'est une vrai horreur ce code
- plutôt que d'utiliser des variables globales pour stocker le résultats
de tes fonctions, il serait plus judicieux d'utiliser le retour de la
fonction ou un paramètre passé par référence.
Bref, encore un peu de boulot. Bon courage.
Petite remarque concernant la licence, CeCILL n'est pas du tout
équivalente à la GPL, il me semble même avoir vu qu'elles était
incompatible.
exemple ? Sur une xss dans un navigateur s'entend.
JG
Exemple:
header('Content-Type: text/html; charset=UTF-7');
$string = "<script>alert('XSS');</script>";
$string = mb_convert_encoding($string, 'UTF-7');
echo htmlentities($string);
source: http://shiflett.org/archive/178
d'avoir plus de précision ? Et surtout de savoir comment m'en prémunir ?
surtout, de savoir comment l'éviter !
Merci d'avance !
Kiou
addslashes ne filtre que les ' pas les autres caractères dangereux, il
peut même agir au contraire de ce que l'on croit ( cf problème avec
certains encodages de caractères acceptant un caractère se terminant par
0xbf5c )
La fameuse faille liée aux caractères encodés en utf-7 ( jeu de
caractères non pris en charge par htmlentities ).
Un petit code pour s'en assurer:
<?php
header('Content-Type: text/html; charset=UTF-7');
$string = "<script>alert('XSS');</script>";
$string = mb_convert_encoding($string, 'UTF-7');
echo htmlentities($string);
?>