Discussion :

[Invité]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
$passe_membre = $_POST['passe_membre2'];
$email = $_POST['email2'];
$prenom = $_POST['prenom2'];
$nom = $_POST['nom2'];
$adresse = $_POST['adresse2'];
$codepostal = $_POST['codepostal2'];
$ville = $_POST['ville2'];
$pays = $_POST['pays2'];
$telephone = $_POST['telephone2'];
// TEST SUR LES VALEURS SAISIES
if($pseudo_membre==""){echo "Vous devez choisir un pseudo<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($passe_membre==""){echo "Vous devez choisir un mot de passe<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
// CHAMPS SUPLEMENTAIRES, inspirez-vous des lignes suivantes. Pour qu'un champs soit facultatif, omettez la ligne.
if($email==""){echo "Vous n'avez pas saisi votre email<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($prenom==""){echo "Vous n'avez pas saisi votre prenom<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($nom==""){echo "Vous n'avez pas saisi votre nom<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($adresse==""){echo "Vous n'avez pas saisi votre adresse complète<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($codepostal==""){echo "Vous n'avez pas saisi votre code postal<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($ville==""){echo "Vous n'avez pas saisi la ville<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($pays==""){echo "Vous n'avez pas saisi votre pays<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
if($telephone==""){echo "Vous n'avez pas saisi votre numéro de téléphone<br><br><a href="."javascript:window.history.back()".">Retour</a>";exit;}
 
// ON VERIFIE SI CE PSEUDO EXISTE DEJA
$requete=mysql_db_query($basesql,"select * from membre where pseudo='".$pseudo_membre."'",$db) or die(mysql_error());
$num=mysql_num_rows($requete);
if($num!=0)
	{
	$requete=mysql_db_query($basesql,"UPDATE membre SET pseudo='".$pseudo_membre."', passe='".$passe_membre."', email='".$email."', prenom='".$prenom."', nom='".$nom."', adresse='".$adresse."', codepostal='".$codepostal."', ville='".$ville."', pays='".$pays."', telephone='".$telephone."' WHERE id_membre='".$id_membre."' AND id='".$id."'",$db) or die(mysql_error());
	// REDIRECTION VERS LA PAGE D'ENTREE DE L'ESPACE MEMBRE
	echo "Merci, vos informations ont bien été mise à jour. Cliquez <a href="."zonemembre.php"."><b>ici</b></a> pour entrer dans votre espace privé.";
	}
break;

Bonjour,

Comment je peux optimisé mon script ?

Est ce qu'il y a des probèmes de sécurité?

Merci d'avance pour votre réponse

[Xunil]

salut, oui ton code n'est pas du tout sécurisé, tu n'échappes pas les caractères dangereux, mysql_escape_string sert à ça

Ensuite tu ne fait pas de trim sur tes variables POST donc si je rentre que des espaces, le champ ne sera pas considéré comme vide.

Au lieu de faire if( x = ""), il y a empty().

Ensuite même si les champs ne sont pas correctement remplis, tu exécute quand même tes requêtes, faut utiliser des conditions.

Il sert à quoi le break ?

[genova]

Il existe aussi un concept interessant nommé fonctions

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
function check($field, $text)
{
   if (empty($field))
   {
      echo "Vous devez choisir $text<br><br><a href="."javascript:window.history.back()".">Retour</a>";
      exit;
   }
}
 
check($pseudo_membre, 'un pseudo');

[frol]

comme il y a les exit je pense que les requêtes ne seront pas exécutée
mais bon le passage a une fonction ici est plus qu'intéressant