Faille(s) ou pas dans ma newsletter ?

Faille(s) ou pas dans ma newsletter ? - PHP - Programmation

Marsh Posté le 17-06-2005 à 18:29:31    

Salut,
 
J'ai finis ma newsletter y'a 20 - 25 minutes et depuis je cherche des éventuelle faille :) mais j'en ai pas trouvée :D
 
Donc si vous pouviez regarder sa serai bien cool ;)
 

Code :
  1. <?php
  2. include('a.php');
  4. if(isset($_GET['action']))
  5. {
  6. if($_GET['action'] == 'verif')
  7. {
  8.  if(empty($_POST['email']))
  9.  {
  10.   echo '<p class="erreur">Le champ <strong>Email</strong> est manquant, veuillez recommencer.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  11.  }
  13.  else
  14.  {
  15.   if($_POST['type'] == 'Inscription')
  16.   {
  17.    $q_email_inscription=mysql_query('SELECT COUNT(email) AS nb_email FROM newsletter WHERE email="'.$email.'"');
  18.    $r_email_inscription=mysql_fetch_array($q_email_inscription);
  20.    if($r_email_inscription['nb_email'] >= 1)
  21.    {
  22.     echo '<p class="erreur">L\'email <strong>'.$email.'</strong> est déjà enregistré dans la base de données.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  23.    }
  25.    else
  26.    {
  27.     $email=htmlentities(htmlspecialchars(trim(strtolower($_POST['email']))), ENT_QUOTES);
  28.     $cle=date('his')*date('yish')*4;
  30.     if(!preg_match('`^[[:alnum:]]([-_.]?[[:alnum:]])*@[[:alnum:]]([-_.]?[[:alnum:]])*.([a-z]{2,4})$`',$email))
  31.     {
  32.      echo '<p class="erreur"><strong>'.$email.'</strong> n\'est pas un format d\'email valide.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  33.     }
  35.     else
  36.     {
  37.      mysql_query("INSERT INTO newsletter VALUES('','$email','$cle','')" );
  39.      $From  = "From:eurotorrent@gmail.com\n";
  40.      $From .= "MIME-version: 1.0\n";
  41.      $From .= "Content-type: text/html; charset= iso-8859-1\n";
  42.      mail($email,'Newsletter de Euro-Torrent','Bonjour,<br /><br />Vous venez de demander votre inscription à la Newsletter de <a href="http://www.euro-torrent.tk">Euro-Torrent</a>.<br /><br />Il vous faut maintenant valider l\'inscription pour être définitivement inscrit.<br /><br />Pour cela, cliquez sur le lien ci-dessous :<br /><br /><a href="http://ftptrashersite.free.fr/newsletter.php?action=validation&style=inscription&email='.$email.'&cle='.$cle.'">Validez ici</a><br /><br />OU<br /><br />http://ftptrashersite.free.fr/newsletter.php?action=validation&style=inscription&email='.$email.'&cle='.$cle.'<br /><br />Vous devez valider l\'inscription avant 7 jours.<br /><br />A bientôt sur <a href="http://www.euro-torrent.tk">Euro-Torrent</a>',$From);
  44.      echo '<p class="erreur">L\'email <strong>'.$email.'</strong> a été correctement ajouté dans notre base de données.<br /><br />Vous allez recevoir un email pour valider votre inscription.<br /><br />Cela permet d\'éviter l\'inscription de faux emails et de s\'assurer que cette adresse email vous appartient.<br /><br />Si vous ne validez pas votre inscription avant 7 jours, il faudra recommencer.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  45.     }
  46.    }
  47.   }
  49.   elseif($_POST['type'] == 'Desinscription')
  50.   {
  51.    $email=htmlentities(htmlspecialchars(trim(strtolower($_POST['email']))), ENT_QUOTES);
  53.    if(!preg_match('`^[[:alnum:]]([-_.]?[[:alnum:]])*@[[:alnum:]]([-_.]?[[:alnum:]])*.([a-z]{2,4})$`',$email))
  54.    {
  55.     echo '<p class="erreur"><strong>'.$email.'</strong> n\'est pas un format d\'email valide.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  56.    }
  58.    else
  59.    {
  60.     $q_verif_email=mysql_query('SELECT COUNT(email) AS nb_email FROM newsletter WHERE email="'.$email.'"');
  61.     $r_verif_email=mysql_fetch_array($q_verif_email);
  63.     if($r_verif_email['nb_email'] == 0)
  64.     {
  65.      echo '<p class="erreur">L\'email <strong>'.$email.'</strong> est déjà inscrit dans notre base de donnée.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  66.     }
  68.     else
  69.     {
  70.      $q_cle_desinscription=mysql_query('SELECT cle FROM newsletter WHERE email="'.$email.'"');
  71.      $r_cle_desinscription=mysql_fetch_array($q_cle_desinscription);
  73.      $From  = "From:eurotorrent@gmail.com\n";
  74.      $From .= "MIME-version: 1.0\n";
  75.      $From .= "Content-type: text/html; charset= iso-8859-1\n";
  76.      mail($email,'Newsletter de Euro-Torrent','Bonjour,<br /><br />Vous venez de demander votre désinscription à la Newsletter de <a href="http://www.euro-torrent.tk">Euro-Torrent</a>.<br /><br />Il vous faut maintenant valider la désinscription pour être définitivement retiré de notre base de données.<br /><br />Pour cela, cliquez sur le lien ci-dessous :<br /><br /><a href="http://ftptrashersite.free.fr/newsletter.php?action=validation&style=desinscription&email='.$email.'&cle='.$r_cle_desinscription['cle'].'">Validez ici</a><br /><br />OU<br /><br />http://ftptrashersite.free.fr/newsletter.php?action=validation&style=desinscription&email='.$email.'&cle='.$r_cle_desinscription['cle'].'<br /><br />A bientôt sur <a href="http://www.euro-torrent.tk">Euro-Torrent</a>',$From);
  78.      echo '<p class="erreur">L\'email <strong>'.$email.'</strong> va être correctement effacé de notre base de données.<br /><br />Vous allez recevoir un email pour valider votre désinscription.<br /><br />Cela permet d\'éviter les fausses désinscription envers les visiteurs et afin de confirmer l\'authenticité de votre requête.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  79.     }
  80.    }
  81.   }
  83.   else
  84.   {
  85.    echo '<script type="text/javascript">window.location="http://www.euro-torrent.tk";</script>';
  86.   }
  87.  }
  88. }
  90. elseif($_GET['action'] == 'validation')
  91. {
  92.  if(isset($_GET['style']))
  93.  {
  94.   if($_GET['style'] == 'inscription')
  95.   {
  96.    $email=htmlentities(htmlspecialchars(trim(strtolower($_GET['email']))), ENT_QUOTES);
  97.    $cle=htmlentities(htmlspecialchars(trim(strtolower($_GET['cle']*1))), ENT_QUOTES);
  99.    $q_email_validation_inscription=mysql_query('SELECT COUNT(email) AS email_validation FROM newsletter WHERE email="'.$email.'"');
  100.    $r_email_validation_inscription=mysql_fetch_array($q_email_validation_inscription);
  102.    if($r_email_validation_inscription['email_validation'] == 1)
  103.    {
  104.     $q_cle_validation_inscription=mysql_query('SELECT COUNT(cle) AS cle FROM newsletter WHERE cle="'.$cle.'"');
  105.     $r_cle_validation_inscription=mysql_fetch_array($q_cle_validation_inscription);
  107.     if($r_cle_validation_inscription['cle'] == 1)
  108.     {
  109.      mysql_query('UPDATE newsletter SET validation=1 WHERE email="'.$email.'" AND cle="'.$cle.'"');
  110.      echo '<p class="erreur">Votre email <strong>'.$email.'</strong> a bien été validé.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  111.     }
  113.     else
  114.     {
  115.      echo '<p class="erreur">Votre clé de validation <strong>'.$key.'</strong> est incorrect.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  116.     }
  117.    }
  119.    else
  120.    {
  121.     echo '<p class="erreur">Votre email de validation <strong>'.$email.'</strong> est incorrect.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  122.    }
  123.   }
  125.   elseif($_GET['style'] == 'desinscription')
  126.   {
  127.    $email=htmlentities(htmlspecialchars(trim(strtolower($_GET['email']))), ENT_QUOTES);
  128.    $cle=htmlentities(htmlspecialchars(trim(strtolower($_GET['cle']*1))), ENT_QUOTES);
  130.    $q_email_validation_desinscription=mysql_query('SELECT COUNT(email) AS email_validation FROM newsletter WHERE email="'.$email.'"');
  131.    $r_email_validation_desinscription=mysql_fetch_array($q_email_validation_desinscription);
  133.    if($r_email_validation_desinscription['email_validation'] == 1)
  134.    {
  135.     $q_cle_validation_desinscription=mysql_query('SELECT COUNT(cle) AS cle FROM newsletter WHERE cle="'.$cle.'"');
  136.     $r_cle_validation_desinscription=mysql_fetch_array($q_cle_validation_desinscription);
  138.     if($r_cle_validation_desinscription['cle'] == 1)
  139.     {
  140.      mysql_query('DELETE FROM newsletter WHERE email="'.$email.'" && cle="'.$cle.'"');
  141.      echo '<p class="erreur">Votre email <strong>'.$email.'</strong> a bien été retiré de notre base de données.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  142.     }
  144.     else
  145.     {
  146.      echo '<p class="erreur">Votre clé de validation <strong>'.$key.'</strong> est incorrect.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  147.     }
  148.    }
  150.    else
  151.    {
  152.     echo '<p class="erreur">L\'email <strong>'.$email.'</strong> est incorrect.<br /><br />:: <a href="newsletter.php">Retour</a> ::</p>';
  153.    }
  154.   }
  156.   else
  157.   {
  158.    echo '<script type="text/javascript">window.location="http://www.euro-torrent.tk";</script>';
  159.   }
  160.  }
  162.  else
  163.  {
  164.   echo '<script type="text/javascript">window.location="http://www.euro-torrent.tk";</script>';
  165.  }
  166. }
  168. else
  169. {
  170.  echo '<script type="text/javascript">window.location="http://www.euro-torrent.tk";</script>';
  171. }
  172. }
  174. else
  175. {
  176. $q_inscrits=mysql_query('SELECT COUNT(email) AS nb_inscrits FROM newsletter WHERE validation="1"');
  177. $r_inscrits=mysql_fetch_array($q_inscrits);
  178. ?>
  180. <script type="text/javascript">
  181. function limite(zone,max)
  182. {
  183. if(zone.value.length>=max)
  184. {
  185.  zone.value=zone.value.substring(0,max);
  186. }
  187. }
  188. </script>
  190. <p>Soyez les premiers avertis des nouveautés et mises à jour du site !</p>
  191. <p><strong>Votre email doit être obligatoirement valide.</strong></p>
  193. <form action="newsletter.php?action=verif" method="post">
  194. <p class="center">
  195. <input type="text" size="30" name="email" oncleup="limite(this,255);" oncledown="limite(this,255);" />&nbsp;<select name="type"><option>Inscription</option><option>Desinscription</option></select><br /><br />
  196. <input type="submit" value="Valider" />
  197. </p>
  198. </form>
  200. <p class="center"><strong><?=nbr($r_inscrits['nb_inscrits']); ?></strong> inscrits</p>
  203. <?php
  204. }
  206. include('b.php');
  207. ?>


 
merci à vous !


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 17-06-2005 à 18:29:31   

Reply

Marsh Posté le 17-06-2005 à 18:42:04    

lol

Reply

Marsh Posté le 17-06-2005 à 18:42:23    

[:austiniste]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 17-06-2005 à 18:50:38    

Qoua ? :D


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 18-06-2005 à 02:56:02    

Une faille de quoi  :??:


---------------
- Annuaire  PHOTOGRAPHIE sur Tagbox.fr -
Reply

Marsh Posté le 18-06-2005 à 03:20:58    

Dans une montagne
...
De sécurité...


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 18-06-2005 à 09:52:55    

Tu te fouttrais pas de notre gueule?


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 18-06-2005 à 10:36:13    

La faille, c'est ta façon de coder.


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 18-06-2005 à 10:41:11    

sircam a écrit :

La faille, c'est ta façon de coder.


 
dans le même temps, c'est du PHP [:spamafote]


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 18-06-2005 à 10:43:17    

elianor a écrit :

dans le même temps, c'est du PHP [:spamafote]


 
Faut arreter avec ça... D'accord que PHP autorise a faire du code de merde ... mais en Java on peut faire des trucs tout aussi foireux aussi ... C'est pas parceque ca passe a l'interpreteur que c'est comme ça qu'il faut faire ...


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 18-06-2005 à 10:43:17   

Reply

Marsh Posté le 18-06-2005 à 10:45:01    

esox_ch a écrit :

Faut arreter avec ça... D'accord que PHP autorise a faire du code de merde ... mais en Java on peut faire des trucs tout aussi foireux aussi ... C'est pas parceque ca passe a l'interpreteur que c'est comme ça qu'il faut faire ...


+1
 
"PHP = code à jeter" -> c'est pas une raison de coder comme un porc. :o


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 18-06-2005 à 10:50:29    

esox_ch a écrit :

Faut arreter avec ça...


 
j'était TT Vendredi, je suis en manque :o


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 18-06-2005 à 10:53:46    

D'accord :D ... On se defoule sur le VB? :D :D :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 18-06-2005 à 11:38:51    

esox_ch a écrit :

D'accord :D ... On se defoule sur le VB? :D :D :D


Fait trop chaud.


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 18-06-2005 à 18:07:31    

Pour le moment je transpire sur du Java :D J'ai trouvé un stage 100% JSP et j'ai jamais utilisé Java dans ce context :D :D :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 18-06-2005 à 22:51:42    

esox_ch a écrit :

Pour le moment je transpire sur du Java :D J'ai trouvé un stage 100% JSP et j'ai jamais utilisé Java dans ce context :D :D :D


Pour bien faire, abstiens-toi de mettre du Java dans tes JSP.


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 19-06-2005 à 08:23:23    

Et je dois mettre quoi dedans alors? :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 19-06-2005 à 14:35:02    

Beaucoup trop de trucs chelou dans ce code... Trop long à vérifier :(

Reply

Marsh Posté le 19-06-2005 à 14:41:30    

esox_ch a écrit :

Et je dois mettre quoi dedans alors? :D


 
tu utilise des taglibs [:spamafote] Ce sont des tag qui sont des objets java spécifiques qui vont acceder à la logique métier de ton application.
 
C'est pour ça qu'on parle parfois d'appli 4 tiers pour les JSP.
 
JSP->taglib->couche metier->couche persistance


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 19-06-2005 à 14:42:35    

esox_ch a écrit :

Et je dois mettre quoi dedans alors? :D


 
Servlet, non? :??:

Reply

Marsh Posté le 19-06-2005 à 14:43:06    

elianor a écrit :

tu utilise des taglibs [:spamafote] Ce sont des tag qui sont des objets java spécifiques qui vont acceder à la logique métier de ton application.
 
C'est pour ça qu'on parle parfois d'appli 4 tiers pour les JSP.
 
JSP->taglib->couche metier->couche persistance


 
Je m'incline...

Reply

Marsh Posté le 19-06-2005 à 14:44:32    

cesarr89 a écrit :

Je m'incline...


 
au début qu'on en fait, on a tendance à fairte comme en PHP, puis on apprend à l'utiliser et à bien extraire les acces dynamique, à en faire une bibliothèque réutilisatble au fil des pages. Le concept de taglib vient tout seul au bout d'un moment [:spamafote]


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 19-06-2005 à 14:45:40    

J'imagine...

Reply

Marsh Posté le 19-06-2005 à 17:44:40    

D'accord, mais dans le cadre de cette entreprise ils m'ont dit que je n'aurait a ecrire qu'en Java ... et bon aussi des requetes SQL mais ça c'est secondaire .


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 19-06-2005 à 18:16:52    

esox_ch a écrit :

D'accord, mais dans le cadre de cette entreprise ils m'ont dit que je n'aurait a ecrire qu'en Java ... et bon aussi des requetes SQL mais ça c'est secondaire .


Tu continues à écrire en Java, mais pas dans les JSP. Tu peux p.e. travailler avec Struts et des taglibs (d'autres frameworks existent).
 
Et pas de taglib pour accéder directement à la DB, à la Cold Fusion, please.  :non:  
 
L'approche "à la PHP" comme on la connaît dans 99% des cas, c'est pas ce qu'il y a de plus modulaire.  [:airforceone]
 
Ceci dit, j'ai rien d'un fanatique, et si c'est pour 2 ou 3 pages et que tu fourres ta business logic, ta data access layer et ta persistence layer dans tes JSP ([:austiniste]), je ne te filerai pas de coup de pelle à clous. Du moins, pas tant que tu ne posteras pas un tel code ici. :D


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 19-06-2005 à 21:58:09    

Ok ... bein pour le moment j'ai jamais travaillé avec des frameworks ... mais je sais que laba ils en utilisent :D ... Mais bon c'est un stage hein ... faut bien que j'apprenne des trucs :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 29-08-2005 à 18:15:51    

Je suis un porc et fiere de l'être !!! :lol:
 
Non sérieux, j'arrive pas à coder bien propre mais bon faut du temps et de la patience ;)


---------------
“ Un avis d’un homme non avisé ne doit jamais être pris en compte par un homme avisé. ” Jean Plancher, 1810, Taverne « Chez Bonaparte »
Reply

Marsh Posté le 29-08-2005 à 19:01:58    

Un raison particulière à ce up après plus de 2 mois ?
 
[:pingouino]

Reply

Marsh Posté le 29-08-2005 à 22:39:39    

Citation :

"PHP = code à jeter" -> c'est pas une raison de coder comme un porc


 
Si php egale code a jeter on le remplace par quoi ??? ruby?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed