Erreur de redirection 403

[Ezarion]

Je suis en train de faire un site et j'ai découvert un petit problème de redirection lorsque j'ai tenté de vérifié la sécurité de mon site au attaques XSS.

(injecter <script>alert('xss')</script> dans mon url)

Le problème est que jai découvert que dès que je met un <, >, é, É, ê, ê, :
et quelque autres.. on met donne la page d'erreur 403 par défaut..

Forbidden

You don't have permission to access /opes/é on this server.

Par contre lorsque je marque un nom de page invalide j'ai ma page 403 par défaut...


Mon htacess dans le répertoire principale qui ne contien que mon index.php

Code: Tout sélectionner

#--------------------------------------------------
# Répertoire : INDEX
#--------------------------------------------------

# Le serveur doit suivre les liens symboliques :
Options +FollowSymlinks

# Activation du module de réécriture d'URL :
RewriteEngine on

#Empêche les images d'être affiché sur un autre site.
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://66.130.87.233:8080/.*$ [NC]
ReWriteRule .*\.(gif|png|jpe?g)$ - [F]

ErrorDocument 404 /opes/index.php?page=plan.php&erreur=404
ErrorDocument 403 /opes/index.php?page=plan.php&erreur=403

#--------------------------------------------------
# Règles de réécriture d'URL :
#--------------------------------------------------

RewriteRule ^acceuil\.htm$  index.php?page=acceuil.php&langue=fr [L]
RewriteRule ^home\.htm$  index.php?page=acceuil.php&langue=en [L]
RewriteRule ^([a-zA-Z0-9]+)-([a-zA-Z0-9]+)-(fr|en)\.htm$  index.php?page=$1.php&produit=$2&langue=$3 [L]
RewriteRule ^([a-zA-Z0-9]+)-(fr|en)\.htm$  index.php?page=$1.php&langue=$2 [L]


mon htacess dans tout les sous répertoires:

Code: Tout sélectionner

#--------------------------------------------------
# Répertoire : SOUS-INDEX
#--------------------------------------------------

Order deny,allow
Deny from all
Allow from 127.0.0.1

mon code php qui gère l'affichage des pages dans mon index.php

Code: Tout sélectionner

<?php
require ('config.php');
require ('langues.php');
#####################
#####    REDIRECTION
#####################

/* Empêche l'utilisation de la page index.php.*/   
if(stristr($_SERVER['REQUEST_URI'], 'index.php') == TRUE) {   
   header("HTTP/1.1 301 Moved Permanently");
   header("Location: http://".$_SERVER['HTTP_HOST'].$URIAcceuil.$langues[$langue]['acceuil']);
   die("Redirection");
}


#################
#####    PAGES
#################
   
if (!empty($_GET['page']) && $_GET['page'] == '***pageadmin***') {
   $pageAInclure = '***pageadmin***';
   $titre = 'Administration';
   $pageLien = str_replace(".php", "", $_GET['page']);
} else if(!empty($_GET['page']) && $_GET['page'] == 'plan.php') {
   if (!empty($_GET['erreur'])) {
      $pageAInclure = 'plan.php';
      $titre = $langues[$langue]['erreur_titre'];
   } else {
      $pageAInclure = $_GET['page'];
      $titre = $langues[$langue]['plandusite'];
      $pageLien = str_replace(".php", "", $_GET['page']);
   }
} else if(!empty($_GET['page']) && file_exists('pages/'.$_GET['page'])) {
   $pageAInclure = $_GET['page'];
   $pageAInclure = strtolower($pageAInclure);
   $titre = str_replace(".php", "", $pageAInclure);
   $pageLien = $titre;
   $titre = ucfirst($titre);
} else {
   $pageAInclure = 'plan.php';
   $titre = $langues[$langue]['erreur_titre'];
}
?>