Discussion :

[ddaweb]

Bonsoir,

Je reviens parmi vous car je me heurte à un problème avec "serialize" - "unserialize".
J'ai trouvé qu'il fallait utiliser ces fonctions pour envoyer le tableau avec un POST.

Le tableau sérialisé arrive bien avec le POST, mais le "unserialize" ne reconstruit pas le tableau

Voici le code raccourci pour envoyer le tableau :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
// ----- Créer le tableau
$array_liste_mail_excel[$nbr_mail][email]=$liste_mail_mail;
$array_liste_mail_excel[$nbr_mail][prenom]=$liste_mail_prenom;
$array_liste_mail_excel[$nbr_mail][nom]=$liste_mail_nom;
 
// ----- Envoyer le tableau via POST
$array_liste_mail_excel_post=serialize($array_liste_mail_excel);
print "<form name=\"fichier_excel\" action=\"./pages/listings/liste_email_excel.php\" method=\"post\" target=\"_blank\">";
	print "<font class=\"texte_Vert_13-1\">Créer un fichier excel</font> &nbsp;&nbsp;";
	print "<input type=\"hidden\" name=\"liste_email\" value='$array_liste_mail_excel_post' />";
	print "<input class=\"enregistrer_petit\" type=\"submit\" value=\"          \" title=\"Créer\" />";
print "</form>";
echo $array_liste_mail_excel_post // Affiche bien les valeurs sérialisées du tableau
 
// ----- Récupérer le tableau posté
if (isset($_POST['liste_email'])) { $liste_email=$_POST['liste_email']; $creer_liste=1; }
else { $creer_liste="non"; }
echo $liste_email; // affiche bien la même chose que le "serialize"
 
print "<pre>";
print_r(unserialize ($liste_email)); // n'affiche pas la valeur du tableau : rien en fait
print "</pre>";

Je ne vois pas trop mon erreur, une aide serait la bienvenue.

@+
DDAWEB

[ddaweb]

Bon ben ...

Comment dire ... cela fonctionne correctement dès que j'ai remplacé l'aposthrophe dans un nom par un autre caractère.
Pour éviter les problèmes futurs, je fais la même chose pour les prénoms.

Je clôture donc ce post

[rawsrc]

Salut,

je t'alerte quand même sur un énorme trou de sécurité dans ton code : utiliser unserialize() sur des données en provenance d'un navigateur peut s'avérer catastrophique.
Je te conseillerai de passer par un autre moyen comme une session ou formater tes données de manière à pouvoir reconstruire un tableau en te passant de serialize et unserialize

[ddaweb]

Salut,

je t'alerte quand même sur un énorme trou de sécurité dans ton code : utiliser unserialize() sur des données en provenance d'un navigateur peut s'avérer catastrophique.
Je te conseillerai de passer par un autre moyen comme une session ou formater tes données de manière à pouvoir reconstruire un tableau en te passant de serialize et unserialize

Peux-tu développer ce trou de sécurité.
Il y transite des adresse mails avec nom et prénom, je tiens à préserver ces personnes.

Utiliser une session, je ne sais pas si c'est possible dans mon cas :
- J'utilise des session sur le site ... jusque là pas de problème
- Le array utilisé est via un "_blank" sur une des pages du site ... je ne crois donc pas pouvoir récupérer la session, session liée à un domaine de l'url si je ne me trompe pas.

EDIT : Cet array reconstruit me permet de créer un fichier excel, aucune action sur la DB
EDIT 2 : Comme je le craignais, je ne sais pas récupérer la variable session

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
// ----------- Mise en session pour envoyer
$_SESSION['liste_email']=$array_liste_mail_excel;
 
// --------------- Faire un fichier Excel
//$array_liste_mail_excel_post=serialize($array_liste_mail_excel); // ----- Partie mise inactive
print "<form name=\"fichier_excel\" action=\"./pages/excel/liste_email_excel.php\" method=\"post\" target=\"_blank\">";
	print "<font class=\"texte_Vert_13-1\">&nbsp;&nbsp;<b>Créer un fichier excel</b></font> &nbsp;&nbsp;";
	//print "<input type=\"hidden\" name=\"liste_email\" value='$array_liste_mail_excel_post' />"; // ----- Partie mise inactive
	print "<input class=\"enregistrer_petit\" type=\"submit\" value=\"          \" title=\"Créer\" />";
print "</form>";
print "<div class=\"div_space_10\">&nbsp;</div>";
 
 
// ---------- Réception des données
/*if (isset($_POST['liste_email'])) { $liste_email_post=$_POST['liste_email']; $creer_liste=1; } // ----- partie mise inactive
else { $creer_liste="non"; }
$liste_email=unserialize ($liste_email_post);
*/
if (isset($_SESSION['liste_email'])) { 
	$liste_email=$_SESSION['liste_email'];
	$creer_liste=1;
}

Je vais essayer d'envoyer sur une page du site ....

[ddaweb]

Voilà en fait la session fonctionne très bien, même avec le "_blank" à partir du moment où je n'oublie pas de mettre "session_start();" en début de page

Je ne serialize plus du coup