[Php] Sécurisation formulaire envoi de mail

[kaizo]

Merci d’avoir répondu

Bonjour,

IMHO y'a une petite "vulnérabilité" qui fait que ton captcha a une chance non nulle de ne servir à rien. En effet, un utilisateur peut forger une requête HTTP en envoyant un cookie PHPSESSID bidon, ce qui fera voir à PHP une nouvelle session... où la variable de session "resultat_captcha" n'a pas été définie (donc considérée comme "nulle" par PHP). Ainsi en foutant rien dans ton $_POST["captcha"], tu bypass sans problème le captcha.

Pour remédier à ce problème, faut juste faire un isset($_SESSION["resultat_captcha"]) et inviter l'utilisateur à GTFO si cette variable de session n'existe pas

pourtant si on ne met rien dans le captcha, il indique "résultat faux" grace a

Code PHP :

else if(isset($_POST['captcha'])) 


, alors comment peut on le bypasser en ne mettant rien ?

@swissky :
merci pour le code, je vais l'updater, mon captcha a trois ans et était censé être temporaire, mais parfois ya du provisoire qui dure ^^