Discussion :

[marycandy]

Bonjour,

depuis que les registers globals sont sur OFF j'ai certains codes qui ne fonctionnent plus et je ne comprends pas comment les modifier. Par exemple ce code ci-dessous qui fonctionne très bien sur un site où ils sont en ON mais pour le nouveau site que je fais l'hébergeur ne veut plus les activer du coup mon script ne fonctionne plus du tout.

Comment dois-je modifier le script ?

Page d’accueil avec un formulaire d’inscription à la newsletter:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<form name="formdiff" method="post" action="/newsletter/inscription.php" target="insc_diff" onSubmit="window.open('','insc_diff','width=200,height=250,screenX=250,screenY=250')">
<input type="hidden" name="liste" value="geneve2014">
<input type="text" name="email" value="E-mail" class="Form" maxlength="100" size="30" onClick="this.value=''">
<input type="hidden" name="liste" value="newsletter">
<input type="submit" value="OK"></center>
</form><br>

page inscription.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?
if (eregi("^[0-9a-z]([-_.]?[0-9a-z])*@[0-9a-z]([-.]?[0-9a-z])*\\.[a-z]{2,3}$", $email)) 
	{
	require("admin/passe/conf.php");
	$db_link = mysql_connect($sql_server,$sql_user,$sql_passwd);
	$requete=mysql_db_query($sql_bdd,"select * from listes where email=\"$email\" and liste=\"$liste\"",$db_link);
	$num=mysql_num_rows($requete);
	if($num==0)
		{
		$requete=mysql_db_query($sql_bdd,"insert into listes values(\"$email\",\"$liste\")",$db_link);
		$message="Merci, votre demande a bien été enregistrée.";
		$titre="Inscription";
		}
	else
		{
		$requete=mysql_db_query($sql_bdd,"delete from listes where email=\"$email\" and liste=\"$liste\"",$db_link);
		$message="Vous n'êtes plus inscrit dans cette liste.";
		$titre="D&eacute;sinscription";
		}
	mysql_close($db_link);
	}
else 
	{
	$message="L'adresse email est invalide";
	$titre="Inscription";
	}
?>

l'email de la personne ne s'enregistre plus dans la base de donnée. Il y a à chaque fois l'erreur "L'adresse email est invalide"

Merci de votre aide.

[Bovino]

Tu n'as pas dû faire beaucoup de recherches...
Si register_globals est à off, ça signifie que $_POST['email'] n'est plus enregistré en tant que $email.

[marycandy]

Si j'ai recherché mais j'ai juste pas compris ce que j'ai lu

C'est à dire qu'il faut que je rajoute $email = $_POST['email'] avant le if dans la page inscription.php ?

[Bovino]

Oui et non...
Dans l'absolu, ça peut être suffisant, mais il faut bien comprendre que l'une des raisons pour lesquelles register_globals est à off par défaut, c'est que cette façon de faire n'est pas du tout sécurisé !
Aucune donnée utilisateur ne doit être utilisée telle quelle sans un minimum de vérification sur ce qu'elle contient. Ce qui se résume par Never trust user input (ne jamais faire confiance aux données utilisateur).

[Celira]

L'utilisateur est par défaut maladroit/bête/méchant.
Maladroit, parce qu'il risque de cliquer sur le mauvais bouton par erreur.
Bête, parce que si on lui indique pas clairement ce qu'il doit faire, il va forcément faire des bêtises.
Méchant, parce qu'il va faire exprès d'écrire n'importe quoi juste pour voir ce qu'il se passe (ou pire)

Sachant ça, il vaut mieux blinder ton appli avec des tests, des confirmations et des fonctions d'échappements pour gérer les injections SQL et autres trucs du même genre.

Maintenant, si tu veux simplement que ton code continue à fonctionner comme avant, tu peux utiliser la fonction extract sur la variable $_POST en début de script.