COCKTAILS PARTY
JulioDelphi
Messages postés
2226
Date d'inscription
dimanche 5 octobre 2003
Statut
Membre
Dernière intervention
18 novembre 2010
-
15 déc. 2006 à 16:23
guisx00 Messages postés 104 Date d'inscription dimanche 23 juillet 2006 Statut Membre Dernière intervention 15 août 2009 - 18 déc. 2006 à 13:34
guisx00 Messages postés 104 Date d'inscription dimanche 23 juillet 2006 Statut Membre Dernière intervention 15 août 2009 - 18 déc. 2006 à 13:34
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/40735-cocktails-party
https://codes-sources.commentcamarche.net/source/40735-cocktails-party
18 déc. 2006 à 13:34
18 déc. 2006 à 11:29
Un peu de lecture...
http://www.phpsecure.info/v2/article/XSS.php
@ tchaOo°
16 déc. 2006 à 13:19
1- $avatar = htmlentities($_POST['avatar']);
if (empty($titre))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
2- $avatar = $_POST['avatar'];
if (empty($avatar))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
Si j'ai bien compris la premier point est à utilisé pour des données importante et le deuxième pour le reste
htmlentities sert à recupèré la variable et à déactive les balises html s'il y en avait encore (c'est bien sa ???)
Merci à quelqun de m'explique pour que je sois sur parce que sur le net il y à plein de tuto m'est personne ne dit pareil.
@++
15 déc. 2006 à 22:04
merci pour ton commentaire Malalam c'est justement ce que je cherche quelqun qui me dise se qu'il ne va pas dans mon code j'ai appris à codé comme sa et maintenant je cherche à amélioré mon code niveau secu etc.
Pour le moment j'ai rajouté les $_POST dans les reception de formulaires plus la verif de mail que j'avais oubliée.
J'ai changé les select aussi.
Maintenant l'upload je pense que il va me falloir un moment pour le modif si je n'est pas d'aide (si quelqun est motive pour m'aidé un peu ou me mettre sur la voie je suis preneur)
Au fait pour les injection sql tout est protéger par des sessions pour mon site sauf biensur ceux des visiteurs.
Mais ici je n'est pas le mode de session car sa j'ai bien compris le système et il est dans mon autre script.
merci des conseils et dis moi si se que j'ai fait est bien deja ou pas
@++
15 déc. 2006 à 19:34
niveau code, y a quand même pas mal de soucis.
En vrac :
- l'extension, d'un fichier ne définit pas son type! Tu peux vérifier si t'as un .jpg à la fin de ton fichier autant que tu veux, ça n'empêchera personne d'uploader un type de fichier différent...un fichier php par exemple, renommé en .jpg. Il est dangereux, ton upload.
- tu utilises les saisies utilisateurs directement, sans te poser de question (et sans passer par les tableaux $_POST, ou $_GET...). Là aussi, c'est dangereux. Pour ton affichage, déjà, et pour ta base de données, ensuite! Un piratin en herbe se fera une joie de foutre tout ça en l'air sans trop de problème, via une injection sql.
- évite les "select *", ce n'est pas très bon pour ton serveur de bdd.
15 déc. 2006 à 18:52
Je vais modifié mon intro je pense
@++
15 déc. 2006 à 18:12
On ne fait pas de la pub pour quelques chose qu'on ne desire pas vendre ...
"Le but de se script est de montré comment se servir des commentaires des moyennes pour les notes et de l'affichage solo"
C'est quoi un affichage solo ?
15 déc. 2006 à 16:26
15 déc. 2006 à 16:23