[Sécurité] Générer un chiffre aléatoire [Débutant(e)] [Résolu]

paterson · 07/05/2006, 13h10

Bonjour , je croi que sa existe mais je ne sait pas comment faire pour interdire les symboles <> d'un texte .

car si un petit malin entre dans l'object textera ou texte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>window.location.replace("son site") </script>

J'enverai automatiquement la personne sur le site de n'importe qui .... Et le seul moyen de l'annuler , s'est de parcourir la base de donnée et de lire tout les message ( se que je ne souhaite pas . ) , ou supprimer tout les messages .

Puis , est ce que vous pouriez me rapeller la variable pour générer un nombre aléatoire ....

Merci d'avence

Anduriel · 07/05/2006, 13h12

Interdire des caracatères est un peu impossible mais tu peux les remplacer ou pas les interpréter.

A l'affichage: htmlspecialchars($chaine);
Avant l'insertion: $chaine = str_replace(array("<", ">"), array("", ""), $chaine);

Pour la seconde question: rand();

paterson · 07/05/2006, 13h15

Merci beaucoup , je le note sur mon boock en note merci beaucoup

Yogui · 07/05/2006, 13h36

Salut

Je te recommande d'utiliser htmlentities() plutôt que str_replace() car c'est imparable, si c'est bien utilisé (cf. le blog de Chris Shiflett).
Non, il n'est pas impossible d'interdire des caractères mais c'est une méthode fastidieuse et largement incomplète.

Concernant l'aléatoire, il y a une fonction infiniment plus intéressante que rand() : mt_rand() (cf. la doc PHP pour les détails).

paterson · 07/05/2006, 14h43

merci beaucoup pour ces précisions et je vais plutot utiliser htmlentities() que str_replace() Pour le laisser utiliser >>>qui peux étre mieu a mon gou ..

Puis merci encore pour mt_rand() qui est la méme chose que rand() sof que le max est plus élever ....

Bibicmoi · 07/05/2006, 14h58

Désolé de faire un petit hors-sujet, mais je croyais qu'avant l'insertion, c'était mysql_real_escape_string qu'il fallait faire?? Et qu'avant l'affichage, c'était htmlentities...
Suis complètement perdu moi avec tout ça...

Anduriel · 07/05/2006, 15h01

Avant l'insertion: stripslashes() (en fonction des magic quotes) et mysql_real_escape_string()
Au retour: htmlspecialchars();

07/05/2006, 13h10	#1
paterson Membre confirmé Matthieu Étudiant Inscription : septembre 2004 Messages : 381 Détails du profil Informations personnelles : Nom : Matthieu Âge : 25 Localisation : France Informations professionnelles : Activité : Étudiant Informations forums : Inscription : septembre 2004 Messages : 381 Points : 278 Points : 278	[Sécurité] Générer un chiffre aléatoire Bonjour , je croi que sa existe mais je ne sait pas comment faire pour interdire les symboles <> d'un texte . car si un petit malin entre dans l'object textera ou texte : Code : Sélectionner tout - Visualiser dans une fenêtre à part <script>window.location.replace("son site") </script> J'enverai automatiquement la personne sur le site de n'importe qui .... Et le seul moyen de l'annuler , s'est de parcourir la base de donnée et de lire tout les message ( se que je ne souhaite pas . ) , ou supprimer tout les messages . Puis , est ce que vous pouriez me rapeller la variable pour générer un nombre aléatoire .... Merci d'avence
	00

07/05/2006, 13h36	#4
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Salut Je te recommande d'utiliser htmlentities() plutôt que str_replace() car c'est imparable, si c'est bien utilisé (cf. le blog de Chris Shiflett). Non, il n'est pas impossible d'interdire des caractères mais c'est une méthode fastidieuse et largement incomplète. Concernant l'aléatoire, il y a une fonction infiniment plus intéressante que rand() : mt_rand() (cf. la doc PHP pour les détails). __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

07/05/2006, 14h58	#6
Bibicmoi Membre habitué Inscription : juillet 2004 Messages : 237 Détails du profil Informations forums : Inscription : juillet 2004 Messages : 237 Points : 107 Points : 107	Désolé de faire un petit hors-sujet, mais je croyais qu'avant l'insertion, c'était mysql_real_escape_string qu'il fallait faire?? Et qu'avant l'affichage, c'était htmlentities... Suis complètement perdu moi avec tout ça... __________________ La vie n'est qu'une succession d'éternels recommencements
	00

07/05/2006, 13h12	#2
Anduriel Membre Expert Étudiant Inscription : février 2004 Messages : 2 168 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2004 Messages : 2 168 Points : 1 277 Points : 1 277	Interdire des caracatères est un peu impossible mais tu peux les remplacer ou pas les interpréter. A l'affichage: htmlspecialchars($chaine); Avant l'insertion: $chaine = str_replace(array("<", ">"), array("", ""), $chaine); Pour la seconde question: rand();
	00

07/05/2006, 13h15	#3
paterson Membre confirmé Matthieu Étudiant Inscription : septembre 2004 Messages : 381 Détails du profil Informations personnelles : Nom : Matthieu Âge : 25 Localisation : France Informations professionnelles : Activité : Étudiant Informations forums : Inscription : septembre 2004 Messages : 381 Points : 278 Points : 278	Merci beaucoup , je le note sur mon boock en note merci beaucoup
	00

07/05/2006, 14h43	#5
paterson Membre confirmé Matthieu Étudiant Inscription : septembre 2004 Messages : 381 Détails du profil Informations personnelles : Nom : Matthieu Âge : 25 Localisation : France Informations professionnelles : Activité : Étudiant Informations forums : Inscription : septembre 2004 Messages : 381 Points : 278 Points : 278	merci beaucoup pour ces précisions et je vais plutot utiliser htmlentities() que str_replace() Pour le laisser utiliser >>>qui peux étre mieu a mon gou .. Puis merci encore pour mt_rand() qui est la méme chose que rand() sof que le max est plus élever ....
	00

07/05/2006, 15h01	#7
Anduriel Membre Expert Étudiant Inscription : février 2004 Messages : 2 168 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2004 Messages : 2 168 Points : 1 277 Points : 1 277	Avant l'insertion: stripslashes() (en fonction des magic quotes) et mysql_real_escape_string() Au retour: htmlspecialchars();
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email