bonjour a tous !

j'ai une question de débutant,
Lors de l'inscription sur twitter, j'avais firebug ouvert.
et j'ai pu voir la requete de twitter. elle retourne cette information

• {"msg":"Ce nom d'utilisateur est d\u00e9j\u00e0 pris","valid":false,"desc":"Ce nom d'utilisateur est d\u00e9j\u00e0 pris. Merci d'en choisir un autre."}

Ma question porte sur l'utilisation des caracteres du mot déjà.

Est ce que cela à une importance d'utiliser d\u00e9j\u00e0 plutot que déjà en matire de sécurité ?


merci
ikoulou

Bonjour ikoulou,

La représentation JSON retournée:
Comme vous le constatez, c'est automatique. Éventuellement, jetez un œil aux options:
- JSON_HEX_QUOT
- JSON_HEX_TAG
- JSON_HEX_AMP
- JSON_HEX_APOS
- JSON_FORCE_OBJECT

Quant à json_decode, il est conseillé de vérifier à l'aide de json_last_error si tout s'est correctement déroulé.

merci pour votre reponse !

effectivement j'ai lu trop vite la doc !
il y avait un exemple en plus.

merci en tout cas !

et je voulais savoir comment je pouvais faire "tester" mon site ?
il existe un moyen ?

ikoulou

Bonjour ikoulou,

Quels types de tests ? normalisation ? vérification ? validation ? ( json + w3c )...
Question trop superflue, détaillez.

bonjour,

effectivement, je n'ai pas préciser
tests pour voir si mon serveur est bien sécurisé ou un site avec pas trop vulnerables...

pas de tests de visuels ou de normes w3c !
je veux un saint pirate, lol.

bonnes fetes a tous.
ikoulou

Bonjour ikoulou,

Faire tester votre site par un saint pirate (white hat) ?

Il existe des milliers d'outils comme: Nessus, Nmap, w3af, Nikto2, Metasploit, BeEF, Paros, Burp, SQLNinja, XSSer, Pinata, Fierce, Arachni, WebScarab, WebSecurify, Skipfish, etc... et tout ceci est présent dans BackTrack Linux ou Operator ou Samurai ou OWASP WTE ou ... passez quelques mois à vous entrainer sur DVL et peut être que vous arriverez à quelque chose. En fait, le problème est ailleurs, Mulder... qui va interpréter les résultats, corréler, mettre en œuvre, etc... oui, c'est un métier et par conséquent ces "tests" qui semblent anodins, s'ils sont sérieux, sont sacrément onéreux - conclusion, à part quelques ahuris, personne ne vous aidera, snif. Néanmoins, ne baissez pas les bras, vous pouvez lire cet excellent document Top 10 Most Critical Web Application Security Risks qui permet aux novices d'apprendre les bases à partir de cas concrets. À chaque "risque", une fiche détaillée :
- Description
- Suis-je vulnérable ?
- Comment me protéger ?
- Scénario d'attaque
- Références

Complétez par la suite en fonction de vos codes.
- http://www.php.net/manual/fr/security.php
- http://phpsec.org/projects/guide/

A mon sens, le plus important reste de se poser des questions triviales du genre:
Voyons... est-ce que quelqu'un est capable de manipuler ceci et/ou contrôler cela et quelles en seraient les conséquences.
Et d'ailleurs ces réflexions sont valables pour tous les langages

bonsoir,
merci pour cette liste d'outils, je vais m'entrainer
vous m'ouvrez bien la voix ! en tout cas !

aussi je voudrais que vous me confirmez : lorsque je fais un formulaire php lors de l'envoi de la requete $_POST, doit-on faire attention a la page qui envoi la requete ($_SERVER['HTTP_REFERER']) , et voir si elle correspond a mon nom de domaine ?
moi je pense que oui ?


merci
ikoulou

Bonjour,

Ouvrir la voie, ça sonne mieux. Mais la voix, pourquoi pas
Votre idée à l'air bien mais malheureusement ce n'est pas une solution fiable.
D'abord parce que les navigateurs ne retournent pas forcément cette information.
Et puis tout simplement parce que la mesure peut être facilement contournée en forgeant la requête.
L'idée la plus simple c'est d'utiliser un .htaccess
Vous trouverez les infos avec des mots clés comme "protect from direct access" - bonnes recherches.