Nettoyage des POST

[apt]

Bonjour,

J'ai écris ce code pour sécuriser mes POSTs:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$title = CleanPost($_POST['title']);

Fonction CleanPost :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
function CleanPost($value){
    return @mysql_real_escape_string(trim(addslashes(strip_tags($value))));
}

le résultat est que title est vide !!!!

Ou est le problème :

Merci.

[grunk]

Enlève le @ devant ta ligne et ça devrait t'aider à trouver le problème.

[ThomasR]

Qu'affiches

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var_dump($_POST['title']);

?

[apt]

Citation:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'xxx'@'localhost' (using password: NO) in /home/xxx/public_html/test/preview/addnews.php on line 16

Citation:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in /home/xxx/public_html/test/preview/addnews.php on line 16

la ligne 16 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

return mysql_real_escape_string(trim(addslashes(strip_tags($value))));

[radicaldreamer]

mysql_real_escape_string s'utilise quand il y a une connexion d'ouverte avec le serveur sql alors si elle n'est pas encore ouverte, faut le faire ou alors, rajouter un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

global $variable_connexion_serveur; //dans ta fonction pour qu'il trouve la connexion.

Citation:

La connexion MySQL. S'il n'est pas spécifié, la dernière connexion ouverte avec la fonction mysql_connect() sera utilisée. Si une telle connexion n'est pas trouvée, la fonction tentera d'ouvrir une connexion, comme si la fonction mysql_connect() avait été appelée sans argument. Si aucune connexion n'est trouvée ou établie, une alerte E_WARNING est générée.

[apt]

Je l'utilise seulement sur un code test sans connexion à la base.

[radicaldreamer]

Hé bah voilà, tu ne peux pas faire ça. Il faut obligatoirement une connexion ouverte pour utiliser cette fonction.

[apt]

Je vais essayer d'ajouter une connexion au code.

Merci.

[vorace]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

le résultat est que title est vide !!!!

tu m'étonnes qu'il est vide vue le traitement que tu lui fais subir...
non je plaisantes, c'est ce qu'il faut faire pour sécuriser ces variables...
quoi que t'as oublié un htmlspecialchars()

[grunk]

Citation:

Envoyé par vorace

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

le résultat est que title est vide !!!!

tu m'étonnes qu'il est vide vue le traitement que tu lui fais subir...
non je plaisantes, c'est ce qu'il faut faire pour sécuriser ces variables...
quoi que t'as oublié un htmlspecialchars()

htmlspecialchars ne s'utilise pas à l’enregistrement mais à l'affichage.

[vorace]

Citation:

htmlspecialchars ne s'utilise pas à l’enregistrement mais à l'affichage.

au mon dieu tu m'en vois gêné...
mis à part le fait que c'était une plaisanterie rien à part le fait que je rende ma base de données dépendante du support de diffusion ne m'interdit de le faire...ce que je ne fait pas bien sur mais merci quand même, ce qui me fait doucement rire c'est votre réactivité à toi et à d'autre membres à me reprendre systématiquement sur mes interventions mais quand moi je poste une question, bizarrement y a plus personne...

[grunk]

Faut pas se sentir persécuté comme ça. Tu lui conseil d'ajouter htmlspecialchar dans sa fonction ce qui n'est pas recommandé , je le fait savoir. J'aurais fait la même remarque à qui que ce soit. Si effectivement c'était une blague , j'ai mal compris tes propos

Citation:

rien à part le fait que je rende ma base de données dépendante du support de diffusion ne m'interdit de le faire

On est bien d'accord. Rien ne m’empêche de mettre mes briques de lait dans la poubelle noire au lieu de la jaune , mais c'est juste mieux de les mettre dans la jaune...

Citation:

ce qui me fait doucement rire c'est votre réactivité à toi et à d'autre membres à me reprendre systématiquement sur mes interventions mais quand moi je poste une question, bizarrement y a plus personne

Une petite remise en question est peut être à envisager. Soit tes questions sont trop pointues pour que l'on puisse y répondre soit elle sont mal posées.

[vorace]

Citation:

Une petite remise en question est peut être à envisagée. Soit tes questions sont trop pointues pour que l'on puisse y répondre soit elle sont mal posées.

en quoi demander si quelqu'un à déjà intégré le module de paiement spplus sur un e-commerce ou un problème sur un cgi; et au passage problème résolue grâce à un autre forum, sont des questions trop pointues ou mal posées surtout que sur d'autres sections de ce forum (java, BI, conception,...) mes questions sont bien posées et ont trouvées réponses...?
je n'accuse personne ni ne me sens persécuté mais je pense que la petite remise question ne concerne pas que moi à mon humble avis...