AsselusBorealiss
Messages postés79Date d'inscriptiondimanche 15 octobre 2000StatutMembreDernière intervention24 septembre 2007
-
22 août 2005 à 00:16
Downlo
Messages postés6Date d'inscriptionvendredi 26 août 2005StatutMembreDernière intervention24 novembre 2005
-
8 août 2008 à 15:42
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
Downlo
Messages postés6Date d'inscriptionvendredi 26 août 2005StatutMembreDernière intervention24 novembre 2005 8 août 2008 à 15:42
Bon, on va me dire que je suis de la vieille école, mais je ne trouve pas l'usage du javascript très pertinent dans ce cas. Pourquoi ne pas avoir tout simplement utilisé un ? Chez tous les clients où le JS est désactivé, le formulaire ne sera tout simplement pas envoyé.
Bon, ensuite, niveau sécurité, même si ce n'est pas le but de la source, c'est pas top. Le maxlength est laissé à la discrétion du navigateur, il ne faut jamais l'oublier, c'est-à-dire que n'importe qui peut injecter n'importe quoi par les en-têtes http. Et encore... L'absence de $_POST indique que les variables globales sont activées, ce qui est un risque énorme niveau sécurité :s il suffit d'appeler [url]?recherche=[...] à répétition pour saturer MySQL. (C'est d'ailleurs à cause de l'usage de ces variables globales que ce script ne marche pas chez Free, comme chez la plupart des hébergeurs sans doute.) Il aurait pourtant suffit de vérifier la longueur de la chaîne reçue pour éviter ce genre d'attaque.
Bon, quant aux mini-tags <? , je pense qu'il est inutile que je me prononce. C'est très mauvais pour la portabilité (Arf, je l'ai dit quand même -_-' ).
Ha, oui, aussi (promis, après j'arrête), les die servent également au debug, il serait donc intéressant de ne pas mettre deux fois le même message, ou d'y intégrer l'erreur renvoyée par MySQL...
Bon, je me rends bien compte que tout ce que je viens de dire ne faisait pas partie du but premier de ce script. Mais c'est aussi pour répondre à "ça marche paaaaaaas" ^^ et pour éviter que les débutants ne l'intègrent tel quel dans leurs projets.
Antoine59840
Messages postés6Date d'inscriptionvendredi 21 juillet 2006StatutMembreDernière intervention 9 janvier 2008 10 nov. 2007 à 17:01
Salut,
Ton script ne marche pas sur free
C'est domage :s
AsselusBorealiss
Messages postés79Date d'inscriptiondimanche 15 octobre 2000StatutMembreDernière intervention24 septembre 2007 10 juil. 2007 à 22:48
Salut marc660
waooowww 2005 je me souviens plus pourquoi j'avais pose une question
sinon marc la page config.php c'est juste la page qui pointe avec les login passW
a+
marc660
Messages postés171Date d'inscriptionjeudi 15 avril 2004StatutMembreDernière intervention18 juillet 2007 10 juil. 2007 à 10:44
Bonjour,
Je ne comprend pas a quoi ça sert $url et require 'includes/config.php et puis cette source ne marche pas.
@+
younes371
Messages postés502Date d'inscriptionmercredi 29 décembre 2004StatutMembreDernière intervention20 mars 2012 27 sept. 2006 à 11:46
S4RuM4N , peux tu mettre ici l'ameliration du code possible
Merci
S4RuM4N
Messages postés4Date d'inscriptionmardi 24 juin 2003StatutMembreDernière intervention16 août 2006 27 août 2006 à 11:14
Pas top :
- Pas de possibilité d'utiliser des structures de table dynamiques
- Pas de structure de recehrche avancée comme +texte -texte "phrase a trouver"
- Plusieurs echo, utilisation de printf
- mysql_fetch_array alors que mysql_fetch_row() suffirait
- Utilisation de variables directement dans un texte entre " " ( utiliser la concatenation avec ' ' )
pas mal de choses a ameliorer, meme si ca date d'un an
AsselusBorealiss
Messages postés79Date d'inscriptiondimanche 15 octobre 2000StatutMembreDernière intervention24 septembre 2007 22 août 2005 à 00:16
Salut HaryOu
je suis debutant en php
et je voudrais savoir si il y avait possibilite une fois que la recherche a ete faite qu'il pointe directement dans la page et sur le mot trouver
8 août 2008 à 15:42
Bon, ensuite, niveau sécurité, même si ce n'est pas le but de la source, c'est pas top. Le maxlength est laissé à la discrétion du navigateur, il ne faut jamais l'oublier, c'est-à-dire que n'importe qui peut injecter n'importe quoi par les en-têtes http. Et encore... L'absence de $_POST indique que les variables globales sont activées, ce qui est un risque énorme niveau sécurité :s il suffit d'appeler [url]?recherche=[...] à répétition pour saturer MySQL. (C'est d'ailleurs à cause de l'usage de ces variables globales que ce script ne marche pas chez Free, comme chez la plupart des hébergeurs sans doute.) Il aurait pourtant suffit de vérifier la longueur de la chaîne reçue pour éviter ce genre d'attaque.
Bon, quant aux mini-tags <? , je pense qu'il est inutile que je me prononce. C'est très mauvais pour la portabilité (Arf, je l'ai dit quand même -_-' ).
Ha, oui, aussi (promis, après j'arrête), les die servent également au debug, il serait donc intéressant de ne pas mettre deux fois le même message, ou d'y intégrer l'erreur renvoyée par MySQL...
Bon, je me rends bien compte que tout ce que je viens de dire ne faisait pas partie du but premier de ce script. Mais c'est aussi pour répondre à "ça marche paaaaaaas" ^^ et pour éviter que les débutants ne l'intègrent tel quel dans leurs projets.
10 nov. 2007 à 17:01
Ton script ne marche pas sur free
C'est domage :s
10 juil. 2007 à 22:48
waooowww 2005 je me souviens plus pourquoi j'avais pose une question
sinon marc la page config.php c'est juste la page qui pointe avec les login passW
a+
10 juil. 2007 à 10:44
Je ne comprend pas a quoi ça sert $url et require 'includes/config.php et puis cette source ne marche pas.
@+
27 sept. 2006 à 11:46
Merci
27 août 2006 à 11:14
- Pas de possibilité d'utiliser des structures de table dynamiques
- Pas de structure de recehrche avancée comme +texte -texte "phrase a trouver"
- Plusieurs echo, utilisation de printf
- mysql_fetch_array alors que mysql_fetch_row() suffirait
- Utilisation de variables directement dans un texte entre " " ( utiliser la concatenation avec ' ' )
pas mal de choses a ameliorer, meme si ca date d'un an
22 août 2005 à 00:16
je suis debutant en php
et je voudrais savoir si il y avait possibilite une fois que la recherche a ete faite qu'il pointe directement dans la page et sur le mot trouver
Merci
Assel