Bonsoir,

N'etant pas un developpeur chevroné, j'espere que vous excuserez la question
basique que je vais poser.

le contexte: wordpress chez OHV.

le probleme:

le caractere @ est systematiquement suprimé de $_GET['mail']

si je rentre @@@@ par exemple,  $_GET['mail'] est vide.

je verrai bien un pb de secu mais je ne sais pas trop ou chercher.

un google php $_GET lost/perte @ me trouve plein de chose mais pas du php ;)

Merci

Eric

========================================================================

                <form action="<?php bloginfo('wpurl');
?>/index.php/content/bulletin" method="get" name="maildata"><input
name="mail" type="text" size="15" maxlength="150" /><input name="ok"
type="submit" value="ok" /></form>

                <?php $result = ($_GET['result']); ?>

    <?php if ($result==merci) { ?>

                <span><br />Votre adresse a bien &eacute;t&eacute;
enregistr&eacute;e. Merci.</span>

                <?php } elseif ($result==existe) { ?>

                <span class="rouge"><br />Votre adresse a d&eacute;j&agrave;
&eacute;t&eacute; enregistr&eacute;e.</span>

    <?php } elseif ($result==erreur) { ?>

                <span class="rouge"><br />Erreur. Veuillez renseigner
&agrave; nouveau votre adresse.</span>

                <?php } elseif ($result==0) { } ?>

===============================================================

<?php
if (isset($_GET['mail'])) {
$verif = $wpdb->query("SELECT * FROM maildata WHERE
adresse='".$_GET['mail']."'");
if ($verif ==0) {
$wpdb->query('INSERT INTO maildata (adresse) VALUES("'.$_GET['mail'].'")');
$TO = 'xxxxxxxxxxxxxxxxxxxx';
$limite = "_----------=_parties_".md5(uniqid (rand()));
$subject = 'Nouvelle inscription au bulletin';
$text = 'Nouvelle inscription au bulletin à l\'adresse : '.$_GET['mail'];
$html = '<p>Nouvelle inscription au bulletin à l\'adresse :
<strong>'.$_GET['mail'].'</strong></p>';
$h = 'From: '.$TO."\n";
$h .= "X-Mailer: PHP\n";
$h .= "X-auth-smtp-user: ".$TO." \n";
$h .= "X-abuse-contact: ".$TO." \n";
$h .= "Date: ".date("D, j M Y G:i:s O")."\n";
$h .= "MIME-Version: 1.0\n";
$h .= "Content-Type: multipart/alternative; boundary=\"".$limite."\"";
$message = "";

$message .= "--".$limite."\n";
$message .= "Content-Type: text/plain\n";
$message .= "charset=\"iso-8859-1\"\n";
$message .= "Content-Transfer-Encoding: 8bit\n\n";
$message .= $text;

$message .= "\n\n--".$limite."\n";
$message .= "Content-Type: text/html; ";
$message .= "charset=\"iso-8859-1\"; ";
$message .= "Content-Transfer-Encoding: 8bit;\n\n";
$message .= $html;

$message .= "\n--".$limite."--";

mail($TO, $subject, $message, $h);

$TO2 = $_GET['mail'];
$text = 'Votre inscription a bien été prise en compte. Pour vous
désinscrire, veuillez vous rendre à cette adresse :
http://xxxxxxxxxxxxxxxxxx';
$html = '<p>Votre inscription a bien été prise en compte. Pour vous
désinscrire, veuillez vous rendre à cette adresse : <a
href="xxxxxxxxxxxxxxxxx</a></p>';
$subject = "Inscription .";
$h = 'From: '.$TO."\n";
$h .= "X-Mailer: PHP\n";
$h .= "X-auth-smtp-user: ".$TO." \n";
$h .= "X-abuse-contact: ".$TO." \n";
$h .= "Date: ".date("D, j M Y G:i:s O")."\n";
$h .= "MIME-Version: 1.0\n";
$h .= "Content-Type: multipart/alternative; boundary=\"".$limite."\"";
$message = "";

$message .= "--".$limite."\n";
$message .= "Content-Type: text/plain\n";
$message .= "charset=\"iso-8859-1\"\n";
$message .= "Content-Transfer-Encoding: 8bit\n\n";
$message .= $text;

$message .= "\n\n--".$limite."\n";
$message .= "Content-Type: text/html; ";
$message .= "charset=\"iso-8859-1\"; ";
$message .= "Content-Transfer-Encoding: 8bit;\n\n";
$message .= $html;

$message .= "\n--".$limite."--";
mail($TO2, $subject, $message, $h);

header('Location: http://xxxxxxxxxxxxx?result=merci');

elseif ($verif !==0) {
header('Location: http://xxxxxxxxxxxxxxxx?result=existe');
else
{
header('Location: http://xxxxxxxxxxxxxx?result=erreur');

Eric Stern :

Perte d'un @ ? Vous seriez passé de @@@ à @@+ ?

--
Pierre Maurette

Bonjour,

Le 21/01/2012 21:14, Eric Stern a écrit :

Oui, bien sûr.

Je ne connais pas wordpress, quant à OHV, dois-je supposer que c'est
OVH ?

Ça ne se produit pas si tu renommes le paramètre en autre chose que
'mail' ?

Si ça marche avec $_GET['zorglub'] et pas avec $_GET['mail'], alors
c'est sûrement une protection à la con chez l'hébergeur.

Bon, voyons le code.

Euh... « merci » c'est une constante définie par define("merci", ...) ?
Si oui, il est d'usage de mettre les constantes en majuscules. Mais si
comme je le suppose tu veux comparer avec la chaîne fixe « "merci" »,
c'est un bug dans ton code qui devrait générer une alerte de type
E_NOTICE.

Voir <http://php.net/manual/fr/language.constants.syntax.php>.

Idem.

Le « class="rouge" », ce n'est pas une erreur de PHP, mais une mauvaise
conception HTML : une classe devrait définir une sémantique, pas une
apparence.

Euh... tu ne vérifies pas la valeur avant de passer une donnée
utilisateur à une requête de base de donnée ? Tu as déjà entendu
parler d'injection SQL ?

Voir <http://fr.wikipedia.org/wiki/Injection_SQL>.

Idem.

ARRRRGHHH !!!

S'il te plaît, débranche *IMMÉDIATEMENT* ton site, il est probablement
déjà utilisé par des spammeurs pour envoyer des pubs pour le Viagra à
la terre entière !

Puis fais appel à un professionnel pour passer en revue tous tes scripts
ou pour les réécrire. Il te résoudra au passage ton problème de « @ »
qui ne passe pas.

Je suis sérieux. Merci de stopper le plus vite possible cette source de
spam involontaire (de ta part).

Cordialement,
--
Olivier Miakinen

Olivier Miakinen disait:

Bonjour

je vais essayer.... comme c'est tombé en panne du jour au lendemain, je
pense aussi à une protection quelconque.

OK

OK

oui, j'ai supprimé la vérification pour être certain que ce n'était pas la
cause pendant les tests.
normallement, ya ça

if (isset($_GET['mail']) && preg_match("/^[\w\.-]+@[\w\.-]+\.[a-z]{2,3}$/i",
$_GET['mail'])

est ce suffisant ?

Pas de panique, cette partie (l'envoi de courriel) n'y est plus depuis que
ça ne marche plus...
Evidemment,en relisant, je comprends le ARRRRGHHH !!!
je suppose que votre grande crainte est que le vilain pas beau soit maître
de $message ?

là ou le bât blesse,c'est que c'est un professionnel qui l'a écrit .........
mais à titre privé en bénévolat,s'agissant d'un site d'association.

mon seul boulot a été de tracer pourquoi ça ne marchait plus.
en virant tout les tests, (celle dont vous parliez contre le SQL INJECTION
et celle qui renvoie à merci),ça m'a permit de voir la disparition du @ dans
la base.

Merci

Eric (mais vraiment pas développeur web,qu'un peu en C des fois le WK)

On 01/27/2012 01:11 PM, Eric Stern wrote:

    Et pour les adresses en .museum ça donne quoi ?

--

                                 Nous vivons dans un monde étrange/
                                 http://foo.bar.quux.over-blog.com/

"Tonton Th" <t...@la.bas.invalid> a écrit dans le message de news:
4f22bd60$0$26323$426a3...@news.free.fr...

ben ca ne risque pas de marcher .... il faudrait un
"@[\w\.-]+\.[a-z]{2,6}$/i"  je supose ?

Eric

Le 27/01/2012 13:11, Eric Stern a écrit :

Ok. Je n'ai pas demandé, mais c'est bien $_GET['mail'] lui-même qui est
vide, et pas le résultat d'un traitement fait sur cette valeur ?

Ok.

Là, pour le coup, c'est trop restrictif : cela interdit par exemple
mon adresse om+n...@miakinen.net qui est valide. Voir la FAQ du forum
à <http://faqfclphp.free.fr/#rub5.3> pour de meilleurs tests.

Par exemple le dernier :
   preg_match('/^[.A-Za-z0-9+_-]+@[.A-Za-z0-9-]+$/', $_GET['mail'])

Le vilain pas beau n'a pas besoin de maîtriser $message pour envoyer
ce qu'il veut à qui il veut -- du moins c'était vrai dans certaines
versions de la fonction mail(), mais je crois que les sauts de lignes
sont maintenant filtrés.

Dans certaines versions de PHP, il suffisait de mettre dans $TO2 un truc
du genre :
 "a...@example.com, a...@example.com, ..., adr1...@example.com\n
 Subject: mon joli spam\n
 Content-Type: multipart/alternative; boundary=truc\n
 \n
 --truc
 Content-Type: text/html\n
 \n
 Achetez mes jolis produits !\n
 \n
 --truc--\n"

Avec ce seul paramètre, on peut choisir à la fois la liste des 1000
spammés, le sujet du spam, et son contenu.

Il vaudrait mieux faire un « echo $_GET['mail']; » et voir le code
source du HTML généré (ou mieux, l'envoyer comme text/plain par un
header() en début de script).

Cordialement,
--
Olivier Miakinen

"Olivier Miakinen" <om+n...@miakinen.net> a écrit dans le message de news:
jfugk5$1p7...@cabale.usenet-fr.net...

Le caractere @ est suprimé de $_GET['mail'],pas dans dans traitement suivant
ie:
 x...@coulommiers.org devient xdv5coulommiers.org.
j'en saurais plus ce weekend avec le test proposé de changer 'mail' par
autre chose. et de faire la manip proposé a la fin.

Ok

C'est un métier ;) je pense qu'il vaut mieux limiter la longueur possible de
la chaine ?
le concepteur initial si je decode bien ce que ça fait a permis 150
caractéres ....

<form action="<?php bloginfo('wpurl'); ?>/content/bulletin" method="get"
name="maildata"><input name="mail" type="text" size="15" maxlength="150"
/><input name="ok" type="submit" value="ok" /></form>

Idée noté

Je reviens Dimanche avec le resultat de mes investigations

Merci pour le temps passé

Eric

On 01/27/2012 06:35 PM, Eric Stern wrote:

    Ne _jamais_ faire confiance au navigateur pour ce genre de limitation
    sur la taille maximale d'une chaine de caractères.

--

                                 Nous vivons dans un monde étrange/
                                 http://foo.bar.quux.over-blog.com/

Le 27/01/2012 16:41, Olivier Miakinen a écrit :

Bonjour

Il y a maintenant des filtre adaptés depuis php 5.2

$email = filter_input(INPUT_GET, 'mail', FILTER_VALIDATE_EMAIL);
if($email ){
       $explemail=explode( '@', $email);
    if( checkdnsrr( $explemail[1]) ){
         .......
        .......
        }

Toutefois, pour fonctionner aussi en réseau local,
FILTER_VALIDATE_EMAIL autorise tout nom de domaine.
Il faut l'associer à checkdnsrr pour verifie l'existance du domaine.

Par ailleurs, une faille à été détectée et corrigée avec la v 5.2.9

Fred