michel

Je disais surtout ça pour rigoler. Par contre je vois pas ce que tu as corrigé au maximum. Il y a au moins 20 failles exploitables. :o

Trop de failles. Mais si quelqu'un utilise ce cms, possible d'envoyer le lien pour qu'on puisse s'amuser ?

Quand tu lances Apache est ce qu'il y a Skype de lancé ? Si oui fermes Skype complètement et lances apaches sur le panel de Xampp.

C'est la version qui utilise des requêtes préparées. Par contre dans functions.php ligne 35 il vaut mieux remplacer: function Redirect($url) { echo "<SCRIPT LANGUAGE=\"JavaScript\"> document.location.href=\"".$url."\" </SCRIPT>"; } Par: function Redirect($url) { header('Location: '.$url); exit; } Une redirection en javascript c'est plutôt inutile sachant que le php va être executé avant le js et qu'il peut être désactivé. Edit: il y a aussi deux administration disponibles dans les dossiers admin et managements, cependant dans admin il n'y a aucune protection contre les injections sql (pas de requêtes préparées) mais aussi un code malveillant dans caresses.php ligne 115 qui permet d'afficher les informations de la bdd: <!--<tr> <td><?PHP echo $HOST_BDD; ?></td> <td><?PHP echo $USER_BDD; ?></td> <td><?PHP echo $PASS_BDD; ?></td> <td><?PHP echo $NAME_BDD; ?></td> </tr>--> Il n'y a pas non plus d'anti-spam dans le register et pas d'anti-bruteforce pour le login.

Tu peux installer apache, mysql et php sans xampp ou WampServer sinon. http://mindsix.com/installation-wamp-win7-64bits/ Tu as aussi easyphp: http://www.easyphp.org/ Et UwAmp: http://www.uwamp.com/fr/ Edit: Comme le dit @xToz il y a aussi MAMP: https://www.mamp.info/en/

Je pense que tu peux modifier ton code pour avoir moins de redondance car quand on regarde ton code tout se ressemble juste quelques petites modifications dans certains cas.

Le mieux c'est de faire par toi même. Après ce n'est pas forcément plus cher par exemple les petits vps ovh sous linux sont très bien. Le seul problème c'est que beaucoup de gens veulent utiliser Windows, et c'est ça qui fait gonfler le prix. Essayes de voir les émulateur disponibles sous linux et de les améliorer le plus possible. Après si tu ne t'y connais pas assez en développement je te conseil fortement de prendre quelques cours rapidement. Achètes toi aussi des livres dans les langages que tu souhaites apprendre.

Le titre et les explications ne sont pas du tout claires. En fait ton script sert à contrôler l'ip des utilisateurs pour empêcher les piratages. Ce n'est pas vraiment une faille comme tu nous l'indique et ta technique n'est pas du tout la meilleur. Il serait plus judicieux de faire un système de contrôle par mail ou avec un deuxième code (protégé par un anti-bruteforce). Ensuite tu mélanges un peu session et cookie, la variable session est supprimé à la fermeture de ton navigateur alors que les cookies restes pour une durée donnée. En ajoutant que les variables de session se font du côté serveur et les cookies côté client. J'espère que ces explications vont t'aider à faire un tutoriel plus précis pour la prochaine fois. Et pensez à indenter votre code, c'est dure à suivre sinon et ça pique avec force les yeux.