Discussion :

[php_de_travers]

Bonjour,

pour réaliser un système d'inscription de membres, je propose aux visiteurs de saisir un pseudo, mot de passe, vérif de mot de passe, adresse email.

Ces 4 informations sont traitées par une fonction dès l'envoi du formulaire et AVANT INSERTION dans la BDD, pour vérifier la conformité avec le cahier des charges du site : longueur mini-maxi, email valide ou pas, existence de la dns de l'email, caractère alphanumérique du pseudo et mot de passe.

MA QUESTION :
en fait, puisque je procède à différents tests de validité avant insertion dans la BDD, est-il encore nécessaire d'appliquer un addslashes ou tout autre traitement pour supprimer les codes malicieux en php, javascript... ?

[Mr N.]

Oui bien entendu.
La fonction addslashes n'a rien à voir avec un cahier des charges, mais avec la bonne construction de tes requêtes. Pour uniformiser et ne pas avoir à me poser la question pour chaque requête, j'échappe tout le temps les valeurs que je colle dedans.
N'oublie pas que si tu utilises mysql, ce n'est pas addslashes mais mysql_real_escape_string que tu dois faut utiliser.

[ePoX]

MA QUESTION :
en fait, puisque je procède à différents tests de validité avant insertion dans la BDD, est-il encore nécessaire d'appliquer un addslashes ou tout autre traitement pour supprimer les codes malicieux en php, javascript... ?

TOUJOURS, imagine que tes vérifications contiennent une faille.
Alors que les fonctions serveurs tels que mysql_real_escape_string sont créées par des programmeur qui connaissent parfaitement le sgbd, et de plus ces fonctions sont testées par foisons d'utilisateurs, donc les bugs sont quasi inexistants.

Laisse donc ce travail au SGBD, tu dormiras mieu la nuit


bbye

[php_de_travers]

Ok,
merci pour cette aide précieuse.

Je mets donc une ceinture et des bretelles. Au moins je suis sûr que le pantalon ne va pas tomber tout seul.