Discussion :

[isa150183]

Bonjour
Pourriez vous m'aider à sécuriser mon formulaire ??
Je vous donne le code de comment je récupère mes variables, c'est du texte ou des chiffres.

Vaut il mieux tout changer et mettre que des hidden ?

Merci bcp!!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
 
$depart = htmlentities($_POST['depart']); 
 
$fin = htmlentities($_POST['fin']);
 
$actuel = htmlentities($_POST['actuel']);
 
$legende =  htmlentities($_POST['legende']);
$legende = htmlentities(stripslashes($legende));
 
$unite =  htmlentities($_POST['mesure']);
$font =  htmlentities($_POST['font']);
$couleur =  htmlentities($_POST['couleur']);
$reglette =  htmlentities($_POST['reglette']);
$mini =  htmlentities($_POST['mini']);

[Raideman]

Utiliser des hidden ne changere rien à la transmission de tes variables. Que ce soit via des champs hidden, via des $_POST, des $_GET , tu dois considérer toutes les variables que ton script peut recevoir comme "non sûre" et faire le traitement adéquant dessus.

Concernant ton code, je pense que htmlentities ne doit pas être utilisé pour stocker des variables en base de données. Mais seulement pour faire de l'affichage dans une page web.

Si tes données sont amenées à aller dans des requetes SQL, utilise plutot mysql_real_escape_string() .

Sinon , si c'est juste pour de l'affichage, je pense que ton htmlentities suffit.

EDIT: De plus , fais plutot du htmlentities($var,ENT_QUOTES) pour bien prendre en charge les quotes aussi.

[isa150183]

ben là en fait j'ai besoin des valeur pour faire tourner des requetes SQL.

Que me conseilles tu comme modif ?

[Raideman]

si c'est pour injecter dans des requetes sql , remplace htmlentities par mysql_real_escape_string alors.