Discussion :

[cr1ptal]

Bonjour les devs,

Je voudrais protéger un formulaire. J'ai trouvé ce moyen:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>

Par contre, je voudrais que le formulaire soit traité dans une autre page que la page elle même, disons "page2.php". Avec $_SERVER["PHP_SELF"] le post du form est renvoyé à la page courante.
Quelqu'un aurait une idée comment traiter le post dans une autre page?

D'avance merci :-)
/cr!ptal

[cr1ptal]

Entre temps j'ai pensé à ceci: dans la page2 j'ai récupére l'input ainsi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$user_name = htmlspecialchars($_POST["user_n"]);

Est-ce que c'est correct niveau sécurité?

[rawsrc]

salut,

il ne faut surtout pas faire ça !
Les données récupérées de l'extérieur ne doivent pas être altérées.

Tu les échappes qu'au dernier moment selon le contexte : quand c'est pour l'affichage tu vas utiliser htmlspecialchars(), quand c'est pour la base de données, tu vas utiliser soit une requête préparée qui va se charger de l'échappement des caractères dangereux, soit tu va faire mysqli_real_escape_string() ou autre chose, bref l'échappement doit se faire selon le contexte.

Les contextes ne sont pas interchangeables.

[cr1ptal]

Ah ok, merci.
En fait, je comprends pas trop ce que ca filtre htmlspecialchars(), ça laisse passer les <, >, ou alors je l'utilise mal.
De toute façon, j'ai fait des tests strpos() moi-même.
Bref, résolu!

[rawsrc]

la doc mon vieux, la doc, y a que ça de vrai d'autant plus que celle de PHP est une des meilleurs, crois-moi