osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> [resolu] vulnérabilité contact_us.php
Gyakutsuki
posté 1 Jul 2005, 21:27
Message #1


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1914
Inscrit : 3-October 02
Membre no 467



Une vulnérabilité a été découverte sur oscommerce dans le fichier contact_us.php. Une personne malveillante peut exécuter un script via un sql injection.

Le patch est disponible sur oscommerce.com mais voici quelques éléments pour faire vos tests :

remplacer contact_us.php par

contact_us.php?&name=1&email=1&enquiry=%3C/textarea%3E%3Cscript%3Ealert('coucou');%3C/script%3E

pour résoudre ce problème voic les éléments à rajouter dans le fichier contact_us.php


CODE
require('includes/application_top.php');

// ############## Added security  ############

$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$enquiry = '';
$name = '';
$email = '';

// ############## End Added security  ############


information donnée sur :
http://www.utimaco.us/lists/bugtraq/2005/Feb/0255.html


--------------------
Cordialement,

Gyakutsuki

Modules, FAQ
Go to the top of the page
 
oneill
posté 1 Jul 2005, 22:57
Message #2


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



Et pour la version contact_us qu'on retrouve chez certains et notamment sur creload: il faut ajouter ca au même endroit
CODE
// ############## Added security  ############
$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$sender_type = $HTTP_POST_VARS['sendertype'];
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############


--------------------
Go to the top of the page
 
wumpus
posté 2 Jul 2005, 10:46
Message #3


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 254
Inscrit : 18-March 04
Lieu : à 20 Km du Havre
Membre no 2148



Merci, patch appliquer, aucun pop-up qui réapparait

Merci pour tous ce que vous faites les gars wink.gif


--------------------
MS2.2-RC1-FR W3C
Creload 6.0 SP1.2 RC2, Template Thema 5
Go to the top of the page
 
Loup solitaire
posté 2 Jul 2005, 10:47
Message #4


Ceinture verte OSC
Icône de groupe

Groupe : Membres
Messages : 735
Inscrit : 2-April 04
Lieu : France
Membre no 2225



Wum^pus m'a devancé.. c'était aussi pour un merci ... rolleyes.gif


--------------------
Sur Creload6 VF ! + modifications
Go to the top of the page
 
Maverick
posté 2 Jul 2005, 17:36
Message #5


Ceinture verte OSC
Icône de groupe

Groupe : Membres
Messages : 691
Inscrit : 18-March 04
Lieu : Lille
Membre no 2151



Thanks for all, guys.... cool.gif

wink.gif


--------------------
MS2 + une centaine de contribs...
Image IPB
Go to the top of the page
 
blancheneige
posté 2 Jul 2005, 18:14
Message #6


Ceinture verte OSC
Icône de groupe

Groupe : Membres
Messages : 697
Inscrit : 11-September 04
Membre no 3237





Excusez ma naieveté, mais pourquoi faut il faire 2 affectations successives des mêmes variables ?

Pourquoi

CODE
// ############## Added security  ############
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############



ne serait pas suffisant ?


C'est peut-être idiot, auquel cas oubliez mon post ....
Go to the top of the page
 
paria
posté 2 Jul 2005, 19:30
Message #7


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 53
Inscrit : 25-December 04
Membre no 4180



je vais faire mon novice de service mais quel risque représente cette faille (à part le fait de pouvoir faire apparaitre un pop up qui dit "coucou !")

biggrin.gif


--------------------
ms2fr - Colissimo (Access/Expert/International/Outremer) - Virement bancaire - Order Editor - QT Pro - Banned emails - Featured Prod - Must agree to the terms - Down for maintenance - Quickly update - Empty Catégories - Simple Price Break
Go to the top of the page
 
Gyakutsuki
posté 3 Jul 2005, 05:27
Message #8


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1914
Inscrit : 3-October 02
Membre no 467



Il semblerait que le pb affecte l'ensemble des fichiers utilisant cette fonction :

tep_draw_textarea_field($name, $wrap, $width, $height, $text = '', $parameters = '', $reinsert_value = true)

checkout_shipping
checkout_payment
tell_a_friend
product_reviews_write.php
ou tout autre fichier intégrant cette fonction

sur checkout_shipping vous pouvez tester :
checkout_shipping.php?comments=%3C/textarea%3E%3Cscript%3Ealert('w00t');%3C/script%3E

Après require('application_top.php');

voilà la solution(enfin j'espère) basée sur le script ci dessus :
CODE

// ############ Added Security Fix ###############
     $comments = tep_db_prepare_input($HTTP_POST_VARS['comments']);
     $comments ='';
 // ############ End Added Security Fix ###############
Cela devrait résoudre le pb.

pour tell_a_friend.php

CODE
// ############ Added Security Fix ###############
   $to_email_address = tep_db_prepare_input($HTTP_POST_VARS['to_email_address']);
   $to_name = tep_db_prepare_input($HTTP_POST_VARS['to_name']);
   $from_email_address = tep_db_prepare_input($HTTP_POST_VARS['from_email_address']);
   $from_name = tep_db_prepare_input($HTTP_POST_VARS['from_name']);
   $message = tep_db_prepare_input($HTTP_POST_VARS['message']);

   $to_email_address = '';
   $to_name = '';
   $from_email_address = '';
   $from_name = '';  
   $message = '';    
// ############ End Added Security Fix ###############


concernant product_reviews_write.php

CODE
// ############### Added Security Fix ################
   $review = tep_db_prepare_input($HTTP_POST_VARS['review']);
   $review = '';
// ############### End Added Security Fix ################


Attention :

Je ne peux dire si ces solutions permettront de tout résoudre (donc je ne donne aucune garantie) et j'espère qu'il y a côté du forum des experts qui permettront d'apporter confirmation ou non concernant ces petites modifications. Affaire à suivre


sur oscommerce.com :
http://www.oscommerce.com/community/contributions,2976


--------------------
Cordialement,

Gyakutsuki

Modules, FAQ
Go to the top of the page
 
xaglo
posté 3 Jul 2005, 10:50
Message #9


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



merci gyaku pour ces infos... mais la question de paria reste entière: quel risque existe-t-il vraiment à part celui de faire passer à quelqu'un un lien contenant une alerte javascript unsure.gif


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
Gyakutsuki
posté 3 Jul 2005, 15:30
Message #10


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1914
Inscrit : 3-October 02
Membre no 467



Voilà mon avis sur ce point : Si quelqu'un est capable d'executer un code simple à partir d'une adresse URL alors il est parfaitement possible d'executer un code plus complexe allant jusqu'à l'effacement de la base de données. Les sql injection ne pardonnent pas si qq'un sait les manier.

A ce niveau, je n'ai pas la connaissance pour dire si cette faille est importante ou pas. Mais je préfère le principe de précaution.

voici un lien que j'ai trouvé et qui date du 13 Juin 2005 et qui montre une nouvelle faille sur osc.

QUOTE
http://fr.news.yahoo.com/050613/313/4glm9.html

Voici le résumé :

Plusieurs vulnérabilités ont été identifiées dans osCommerce, elles pourraient être exploitées par des utilisateurs distants afin de conduire des attaques par cross site scripting.

Le problème résulte d'une erreur présente aux niveaux des fichiers "index.php" et "banner.php" qui ne filtrent pas correctement les variables "products_id" et "pid", ce qui pourrait être exploité afin d'injecter un code HTML/Javascript malicieux coté client.
Le risque lié à cette faille est qualifié de "Bas" par le FrSIRT :

http://www.frsirt.com/bulletins/1401

http://www.gulftech.org/?node=research&art...=00080-06102005
ex : index.php?action=buy_now&products_id=22%0d%0atest:%20poison%20headers!

Il n'extiste actuellement aucun correctif officiel pour ce problème de sécurité



petite def des sql injection :

Les données sont envoyées par le client par l'intermédiaire d'un script sur le serveur web. Il s'ensuit une connexion au serveur SQL, puis l'envoi des données de la requête du client. La rêquete est exécutée par le serveur SQL. La réponse est reçue par le client et est affichée sous la forme d'une page web.




--------------------
Cordialement,

Gyakutsuki

Modules, FAQ
Go to the top of the page
 
fdj
posté 12 Jul 2005, 15:59
Message #11


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 59
Inscrit : 5-April 05
Membre no 5384



Je comprenais pas comment a partir d'un javascript on pouvait faire mal.
J'ai trouvé ça.
C'est BON ?



QUOTE

Le Cross Site Scripting : Les conséquences possibles

Les conséquences semblent anodines au premier abord. Mais le CSS est exploitable de la manière suivante.
Un pirate va envoyer un mail en HTML à sa victime. Ce mail comporte un lien sur un site vulnérable à un CSS que la victime a pour habitude de visiter. Les conséquences deviennent graves à partir du moment où le code HTML passé dans l'URL permet l'exécution de Javascript (balise <script>) sur la machine de l'utilisateur.

Effectivement, le pirate connaissant bien le Javascript peut facilement récupérer le cookie de la victime utilisé sur ce même site. La gravité croît alors avec la sensibilité des informations contenues dans le cookie (authentification, identificateur de session, ...)

Le CSS est une technique déclinable pour les applications Web, cette attaque fonctionne dès que l'application restitue dans un message le nom d'un fichier ou d'un paramètre présent dans une URL sans prendre en compte l'éventuelle présence de balises HTML.

Source : http://www.securiteinfo.com/attaques/hacki...scripting.shtml


--------------------
MS2 - QTPRO 4.2 - Ezier New Fields - featured_products - WYSIWYG_v1.8FR - Contre-remboursement - 3_Sizes_of_product_images_Update - visible_countries_1.1b - products_on_order1.2 - Cyberplus Atos5.0 - Header Tag
Go to the top of the page
 
sidarus
posté 14 Jul 2005, 22:10
Message #12


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 345
Inscrit : 22-October 04
Lieu : Suisse
Membre no 3550



Pour ma part je penses qu'un systeme d'alerte/MAJ (via CVS) est sans doute nécessaire dans ce domaine (c'est fout la foule d'exploits qu'on y trouve) unsure.gif


--------------------
[edit modération NO_PUB]
Go to the top of the page
 
wth
posté 30 Jul 2005, 22:52
Message #13


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 24
Inscrit : 2-February 05
Lieu : Neuchâtel - Suisse
Membre no 4604



QUOTE (Gyakutsuki @ 03 jui 2005, 06:27)
Il semblerait que le pb affecte l'ensemble des fichiers utilisant cette fonction :

tep_draw_textarea_field($name, $wrap, $width, $height, $text = '', $parameters = '', $reinsert_value = true)

checkout_shipping
checkout_payment
tell_a_friend
product_reviews_write.php
ou tout autre fichier intégrant cette fonction

sur checkout_shipping vous pouvez tester :
checkout_shipping.php?comments=%3C/textarea%3E%3Cscript%3Ealert('w00t');%3C/script%3E

Après require('application_top.php');

voilà la solution(enfin j'espère) basée sur le script ci dessus :
CODE

// ############ Added Security Fix ###############
     $comments = tep_db_prepare_input($HTTP_POST_VARS['comments']);
     $comments ='';
 // ############ End Added Security Fix ###############
Cela devrait résoudre le pb.

pour tell_a_friend.php

CODE
// ############ Added Security Fix ###############
   $to_email_address = tep_db_prepare_input($HTTP_POST_VARS['to_email_address']);
   $to_name = tep_db_prepare_input($HTTP_POST_VARS['to_name']);
   $from_email_address = tep_db_prepare_input($HTTP_POST_VARS['from_email_address']);
   $from_name = tep_db_prepare_input($HTTP_POST_VARS['from_name']);
   $message = tep_db_prepare_input($HTTP_POST_VARS['message']);

   $to_email_address = '';
   $to_name = '';
   $from_email_address = '';
   $from_name = '';  
   $message = '';    
// ############ End Added Security Fix ###############


concernant product_reviews_write.php

CODE
// ############### Added Security Fix ################
   $review = tep_db_prepare_input($HTTP_POST_VARS['review']);
   $review = '';
// ############### End Added Security Fix ################


Attention :

Je ne peux dire si ces solutions permettront de tout résoudre (donc je ne donne aucune garantie) et j'espère qu'il y a côté du forum des experts qui permettront d'apporter confirmation ou non concernant ces petites modifications. Affaire à suivre


sur oscommerce.com :
http://www.oscommerce.com/community/contributions,2976


Modif effectuée, mais voici l'erreur sur la creload 6

Parse error: parse error in /home/httpd/vhosts/nautil.ch/httpdocs/checkout_payment.php on line 16

Pourquoi ?

Erreurs qui se donnent sur:

- checkout_shipping
- checkout_payment
- tell_a_friend
- product_reviews_write.php

javascript:emoticon(':?')

Par-contre, contact-us fonctionne avec la modif.


--------------------
Ma boutique est en production sur le net (PHP4). Miroir en locale (PHP5) sur iBook G3 800MHz, 640Mo RAM, avec MAMP.
Go to the top of the page
 
Maverick
posté 2 Aug 2005, 22:24
Message #14


Ceinture verte OSC
Icône de groupe

Groupe : Membres
Messages : 691
Inscrit : 18-March 04
Lieu : Lille
Membre no 2151



QUOTE (oneill @ 01 jui 2005, 23:57)
Et pour la version contact_us qu'on retrouve chez certains et notamment sur creload: il faut ajouter ca au même endroit
CODE
// ############## Added security  ############
$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$sender_type = $HTTP_POST_VARS['sendertype'];
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############

Salut Oneill, salut à tous biggrin.gif

En regardant la modif de près pour la creload, il s'avère que la variable $email n'est pas utilisée, contrairement à la ms2 qui l'utilise...

Donc la modif serait plutôt:

CODE
// ############## Added security  ############
$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email_address = $HTTP_POST_VARS['email'];
$sender_type = $HTTP_POST_VARS['sendertype'];
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############


du fait de la présence de cette ligne de code

CODE
  $email_address = tep_db_prepare_input($HTTP_POST_VARS['email']);


Quelqu'un peut me confirmer la modif?
wink.gif


--------------------
MS2 + une centaine de contribs...
Image IPB
Go to the top of the page
 
KIEDIS
posté 3 Aug 2005, 17:30
Message #15


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 120
Inscrit : 1-June 05
Membre no 6050



Bon...je sais que c'est nulle ma question mais bon après de voir que vous êtes encore en train de voir quoi mettre comme patch...pourriez vous faire une 'version clean' de cette thread pour les newbies de comment faire cela et pour quel version chaque chose?

Merci!


--------------------
J'ai une creaload 6
Go to the top of the page
 
oneill
posté 4 Aug 2005, 22:14
Message #16


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



C'est très simplement expliqué dans le premier post


--------------------
Go to the top of the page
 
anonymus
posté 9 Aug 2005, 14:44
Message #17


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 52
Inscrit : 30-April 04
Lieu : Lyon, France
Membre no 2373



Bonjour,

Pour répondre à ceux qui se posent la question du 'niveau' de cette faille :

Le fait de pouvoir afficher une boite contenant 'coucou' est simpliste, mais révélateur. Il ne va pas vous être proposé un script présentant un risque pour votre base, votre site, pour faire juste un test.
Par contre, cette boite 'javascript' est révélateur :
- Il est possible de faire fonctionner du javascript, avec tout ce que cela comporte comme risque :
-> L'internaute met une redirection à base de javascript vers son site (sic) et se fait passer pour 'votre' site cry.gif
-> Il récupère le cookie, et donc l'identifiant du visiteur, et se fait passer pour lui wink.gif
-> Il lance des attaques sur votre serveur, muni du cookie d'un 'client', voire du cookie de l'administrateur mad.gif
etc..

Une simple box. 'coucou', c'est plutot sympa, comme test, non ?
Go to the top of the page
 
ritchi3d
posté 13 Aug 2005, 12:38
Message #18


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 119
Inscrit : 9-July 05
Membre no 6477



J`arrive peut-etre un peu tard mais je tenais a vous remercier pour le travail et l`aide que vous nous fournisse . En effet , la securite est devenue mon obsesssion premiere et depuis que j`ai installe ces patchs , je me sents plus en securite meme si je sais que le 100% n`existe pas...
Merci encore .


--------------------
osCommerce MS2fr
Go to the top of the page
 
armoise
posté 24 Aug 2005, 17:48
Message #19


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 225
Inscrit : 30-June 04
Membre no 2781



Bonjour,

J'ai rencontré un problème avec

QUOTE
// ############## Added security  ############
$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$sender_type = $HTTP_POST_VARS['sendertype'];
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############


Certains utilisateurs ne peuvent plus remplir le formulaire. Heureusement, Elbe 4881 était là et a répondu :

QUOTE
Si certaines personnes peuvent remplir et d'autres pas, cela veut dire en fait que pour les clients loggés, ils doivent voir apparaitre leur nom et mail dans les champs, mais du fait des modifs (code sécurité), les champs ne sont pas pré-remplis et de plus ils sont en read only. Donc les clients croient qu'ils doivent saisir mais ne le peuvent pas.
Les clients qui ne sont pas loggés ne doivent pas avoir de problème de saisie.

Remplace

CODE 
$name = '';
$email = '';

Par

CODE 
//$name = '';
//$email = '';


Tout doit rentrer dans l'ordre.

Bonne continuation



Merci à lui


--------------------
- creload 6 en production - 2.2RC2aFRW3C en développement -
Go to the top of the page
 
nimoi62
posté 9 Sep 2005, 19:19
Message #20


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 220
Inscrit : 29-July 05
Lieu : Calais
Membre no 6644



Bonjour,

Armoise dans quel fichier as-tu rencontré ce problème ? mellow.gif


--------------------
Site actuel:MS2 VERSION+Contribs: kelkoo + colissimo + send_order_html_email_v53 + Administration Access Level Accounts V2.3 + store_pickup_version1.3 + Order Editor + HeaderTags + SEO_URL_Rewriting + DefineMainPage + GoogleXMLSitemap + Atos + Easy populate + Featured Products + Month Sales
Site en préparation:Creload SP1.4+Contribs: CCC version US customisée par SERVALONE ( votre avis sur notre site )
Go to the top of the page
 
Ryu007
posté 11 Sep 2005, 21:32
Message #21


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1385
Inscrit : 3-June 04
Lieu : Saint-mandé
Membre no 2597



Au lieu d'utiliser les variables, du type :
QUOTE

// ############## Added security  ############
$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$sender_type = $HTTP_POST_VARS['sendertype'];
$enquiry = '';
$name = '';
$email = '';
$sender_type = '';
// ############## End Added security  ############

Je conseillerais plutot d'utiliser au choix la fonction strip_tags() ou tep_sanitize_string() dans le fichier html_output.php à la fonction tep_draw_textarea_field() à la ligne (~230) :
QUOTE

    if ( (isset($GLOBALS[$name])) && ($reinsert_value == true) ) {
      $field .= tep_sanitize_string(stripslashes($GLOBALS[$name]));
    } elseif (tep_not_null($text)) {
      $field .= tep_sanitize_string($text);
    }

Evitant ainsi de construire des balises, et de modifier tous les fichiers concernés...

Cordialement


--------------------
Image IPB Image IPB
Go to the top of the page
 
momie
posté 13 Sep 2005, 07:57
Message #22


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 3
Inscrit : 26-February 02
Lieu : Isère
Membre no 64



Apres integration

CODE
require('includes/application_top.php');

// ############## Added security ############

$enquiry = $HTTP_POST_VARS['enquiry'];
$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$enquiry = '';
$name = '';
$email = '';

// ############## End Added security ############


Toujours des messages par 3
1er message

qqz@eco-bacchus.com
Content-Type: multipart/mixed; boundary="===============1104754965=="
MIME-Version: 1.0
Subject: c885ad05
To: qqz@eco-bacchus.com
bcc: jrubin3546@aol.com
From: qqz@eco-bacchus.com

This is a multi-part message in MIME format.

--===============1104754965==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

rnv
--===============1104754965==--

2ieme message

uisaabjtcz
--===============1060508457==--" <dvey@eco-bacchus.com>
MIME-Version: 1.0
X-Mailer: osCommerce Mailer
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit


dvey@eco-bacchus.com

3ieme message
fqej@eco-bacchus.com

Recevez vous ce genre de message ?
Avez vous une explication ?






--------------------
[edit modération : pas de lien vers des boutiques en prod]
Go to the top of the page
 
oneill
posté 13 Sep 2005, 08:37
Message #23


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



Réponse : OUI la semaine dernière, une par une box de sondage que j'ai supprimé, une par la box newsletter et une par contact us après intégration du correctif.
Cette modif pourri le contact us en empêchant les clients loggués de vous écrire. La contrib suivante semble être la voie à suivre à différents niveaux.
http://www.oscommerce.com/community/contributions,3534
On modifie le tep_mail, les textarea et dans contact_us, on ajoute strip_tags plutôt que tep_sanitize_string qui bloque également l'envoi des mails des client loggués...
Je me penche sur la boxe newsletter.


--------------------
Go to the top of the page
 
oneill
posté 13 Sep 2005, 08:48
Message #24


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



Pour la box newsletter, j'ai ajouté ces lignes :

CODE
intapos=form.Email.value.indexOf("<");
ligne 40 et
CODE
              // **** Check for caractere interdit ****
             
              else if (intapos != -1)
              {
              alert("Votre adresse mail contient des caractères invalides.");
              form.Email.focus();
              passed = false;
              }
ligne 70 environ
Ce qui semble suffire.
Reste plus que la box survey


--------------------
Go to the top of the page
 
oneill
posté 13 Sep 2005, 11:31
Message #25


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773




Momie
http://www.anders.com/cms/75/Crack.Attempt/Spam.Relay


--------------------
Go to the top of the page
 

2 Pages V   1 2 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 19:26
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)