guisx00
Messages postés104Date d'inscriptiondimanche 23 juillet 2006StatutMembreDernière intervention15 août 2009 18 déc. 2006 à 13:34
merci pour le petit site j'ai pas mal de lecture mais j'en est bessoin pour vraiment retravailler mon projet dans le fond pour plus de securite et pour une meilleur ergonomie merci
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 18 déc. 2006 à 11:29
htmlentities() ou strip_tags() n'est à utiliser que pour l'affichage des données... .. .
guisx00
Messages postés104Date d'inscriptiondimanche 23 juillet 2006StatutMembreDernière intervention15 août 2009 16 déc. 2006 à 13:19
Slt qui pourrais m dire se qui est le mieux pour recuper les infos d'un formulaire :
1- $avatar = htmlentities($_POST['avatar']);
if (empty($titre))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
2- $avatar = $_POST['avatar'];
if (empty($avatar))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
Si j'ai bien compris la premier point est à utilisé pour des données importante et le deuxième pour le reste
htmlentities sert à recupèré la variable et à déactive les balises html s'il y en avait encore (c'est bien sa ???)
Merci à quelqun de m'explique pour que je sois sur parce que sur le net il y à plein de tuto m'est personne ne dit pareil.
@++
guisx00
Messages postés104Date d'inscriptiondimanche 23 juillet 2006StatutMembreDernière intervention15 août 2009 15 déc. 2006 à 22:04
Salut,
merci pour ton commentaire Malalam c'est justement ce que je cherche quelqun qui me dise se qu'il ne va pas dans mon code j'ai appris à codé comme sa et maintenant je cherche à amélioré mon code niveau secu etc.
Pour le moment j'ai rajouté les $_POST dans les reception de formulaires plus la verif de mail que j'avais oubliée.
J'ai changé les select aussi.
Maintenant l'upload je pense que il va me falloir un moment pour le modif si je n'est pas d'aide (si quelqun est motive pour m'aidé un peu ou me mettre sur la voie je suis preneur)
Au fait pour les injection sql tout est protéger par des sessions pour mon site sauf biensur ceux des visiteurs.
Mais ici je n'est pas le mode de session car sa j'ai bien compris le système et il est dans mon autre script.
merci des conseils et dis moi si se que j'ai fait est bien deja ou pas
@++
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 15 déc. 2006 à 19:34
Hello,
niveau code, y a quand même pas mal de soucis.
En vrac :
- l'extension, d'un fichier ne définit pas son type! Tu peux vérifier si t'as un .jpg à la fin de ton fichier autant que tu veux, ça n'empêchera personne d'uploader un type de fichier différent...un fichier php par exemple, renommé en .jpg. Il est dangereux, ton upload.
- tu utilises les saisies utilisateurs directement, sans te poser de question (et sans passer par les tableaux $_POST, ou $_GET...). Là aussi, c'est dangereux. Pour ton affichage, déjà, et pour ta base de données, ensuite! Un piratin en herbe se fera une joie de foutre tout ça en l'air sans trop de problème, via une injection sql.
- évite les "select *", ce n'est pas très bon pour ton serveur de bdd.
guisx00
Messages postés104Date d'inscriptiondimanche 23 juillet 2006StatutMembreDernière intervention15 août 2009 15 déc. 2006 à 18:52
bah en fait moi j'apel un affichage solo un seul enregistrement affiché voila
Je vais modifié mon intro je pense
@++
cs_jean84
Messages postés449Date d'inscriptionjeudi 26 août 2004StatutMembreDernière intervention 5 mars 2009 15 déc. 2006 à 18:12
Bah un peu quand meme ^^
On ne fait pas de la pub pour quelques chose qu'on ne desire pas vendre ...
"Le but de se script est de montré comment se servir des commentaires des moyennes pour les notes et de l'affichage solo"
C'est quoi un affichage solo ?
guisx00
Messages postés104Date d'inscriptiondimanche 23 juillet 2006StatutMembreDernière intervention15 août 2009 15 déc. 2006 à 16:26
oui je suis tout à fait d'accord mais le but du script est pas de boire lol
JulioDelphi
Messages postés2226Date d'inscriptiondimanche 5 octobre 2003StatutMembreDernière intervention18 novembre 201014 15 déc. 2006 à 16:23
L'abus d'alcool est dangeureux pour la santé. A consommer avec modération.
18 déc. 2006 à 13:34
18 déc. 2006 à 11:29
Un peu de lecture...
http://www.phpsecure.info/v2/article/XSS.php
@ tchaOo°
16 déc. 2006 à 13:19
1- $avatar = htmlentities($_POST['avatar']);
if (empty($titre))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
2- $avatar = $_POST['avatar'];
if (empty($avatar))
{
echo "
Le champs avatar doit être rempli !";
echo "
Retour
";
exit();
}
Si j'ai bien compris la premier point est à utilisé pour des données importante et le deuxième pour le reste
htmlentities sert à recupèré la variable et à déactive les balises html s'il y en avait encore (c'est bien sa ???)
Merci à quelqun de m'explique pour que je sois sur parce que sur le net il y à plein de tuto m'est personne ne dit pareil.
@++
15 déc. 2006 à 22:04
merci pour ton commentaire Malalam c'est justement ce que je cherche quelqun qui me dise se qu'il ne va pas dans mon code j'ai appris à codé comme sa et maintenant je cherche à amélioré mon code niveau secu etc.
Pour le moment j'ai rajouté les $_POST dans les reception de formulaires plus la verif de mail que j'avais oubliée.
J'ai changé les select aussi.
Maintenant l'upload je pense que il va me falloir un moment pour le modif si je n'est pas d'aide (si quelqun est motive pour m'aidé un peu ou me mettre sur la voie je suis preneur)
Au fait pour les injection sql tout est protéger par des sessions pour mon site sauf biensur ceux des visiteurs.
Mais ici je n'est pas le mode de session car sa j'ai bien compris le système et il est dans mon autre script.
merci des conseils et dis moi si se que j'ai fait est bien deja ou pas
@++
15 déc. 2006 à 19:34
niveau code, y a quand même pas mal de soucis.
En vrac :
- l'extension, d'un fichier ne définit pas son type! Tu peux vérifier si t'as un .jpg à la fin de ton fichier autant que tu veux, ça n'empêchera personne d'uploader un type de fichier différent...un fichier php par exemple, renommé en .jpg. Il est dangereux, ton upload.
- tu utilises les saisies utilisateurs directement, sans te poser de question (et sans passer par les tableaux $_POST, ou $_GET...). Là aussi, c'est dangereux. Pour ton affichage, déjà, et pour ta base de données, ensuite! Un piratin en herbe se fera une joie de foutre tout ça en l'air sans trop de problème, via une injection sql.
- évite les "select *", ce n'est pas très bon pour ton serveur de bdd.
15 déc. 2006 à 18:52
Je vais modifié mon intro je pense
@++
15 déc. 2006 à 18:12
On ne fait pas de la pub pour quelques chose qu'on ne desire pas vendre ...
"Le but de se script est de montré comment se servir des commentaires des moyennes pour les notes et de l'affichage solo"
C'est quoi un affichage solo ?
15 déc. 2006 à 16:26
15 déc. 2006 à 16:23