C'est bien joli mais...
comment récupérer les données d'un formulaire qui utilise la méthode "POST" autrement qu'en allant les rechercher dans la superglobale $_POST ?
Il y a longtemps que register_globals est désactivée par défaut et qu'on n'utilise plus $_REQUEST qui avait l'avantage/inconvénient (tout dépend de ce que l'on voulait faire) de "mélanger" $_POST et $_GET !
Quant aux sessions, elles sont, en principe, logées sur le serveur, dans des répertoires protégés par un .htaccess et donc non accessibles (quoique chez certains hébergeurs, le dossier nommé "sessions" doit se trouver directement sous le répertoire racine du site... )
En bref, respectez l'adage "ne jamais faire confiance aux données fournies par l'utilisateur", vérifiez vos formulaires avec un bon
onsubmit="return verif();"
avant de soumettre la requête et, côté "action", vérifiez à nouveau l'existence et le contenu de chacun des champs attendus.
Pour terminer avec PHP, plus exactement avec PDO : cet objet est censé assurer la sécurité des requêtes paramétrées en utilisant, lors du lien paramètre->variable, les constantes
PDO::PARAM_STR, PDO::PARAM_INT
etc.
Eh bien, sachez que la vérification de type est "plus que légère", donc ne comptez pas dessus.
Comme quoi, la critique est facile mais l'art est difficile (autre proverbe connu)
Allez, faites-vous plaisir quand même avec PHP
Partager