Discussion :

[Jarodd]

Bonjour,

Je souhaiterais savoir si ce code est valable concernant les données entrées dans un formulaire et destinées à être stockées en bdd...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if (get_magic_quotes_gpc()) {
	$titre	= stripslashes(getPostParameters(titre));
} else {
	$titre 	= getPostParameters(titre);
}
$titre		= trim($titre);
$titre		= htmlentities($titre);
$titre		= mysql_real_escape_string($titre);

...ou si vous voyez des améliorations à y faire.

Merci d'avance pour votre aide.

PS : pas la peine de me renvoyer vers tel ou tel tuto sur le net, je viens de passer plus de 2h à lire tout ce qui me tombait sous la main ce code est une sorte de "compilation" de ce qui ressortait le plus souvent, mais d'un site à l'autre c'est différent (du bon et du moins bon pour les explications...) donc je ne sais pas si c'est correct, "trop" sécurisé, etc.

[onet]

Salut,

Bonjour,

Je souhaiterais savoir si ce code est valable concernant les données entrées dans un formulaire et destinées à être stockées en bdd...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if (get_magic_quotes_gpc()) {
    $titre    = stripslashes(getPostParameters(titre));
} else {
    $titre     = getPostParameters(titre);
}
$titre        = trim($titre);
$titre        = htmlentities($titre);
$titre        = mysql_real_escape_string($titre);

...ou si vous voyez des améliorations à y faire.

Ca dépends. De quels caractères peuvent être composer ta variable "titre" reçue en paramètres? Et que fait ta fonction "getPostParameters" ?

J'ai plutot tendance à utiliser des regexp pour effectuer les tests complex, que les fonctions de bases de PHP, car un htmlentities, meme si il va te protéger ta page peu foutre le souc dans ton affichage.

Donc, la première chose à faire est de se dire... Qu'est-ce que je veux autoriser comme caractères? Et a partir de la, tu mets une regex avec tes données exacte (soit uniquement un test, et tu retourn true/flase => à traiter, soit tu remplace par '' (<= rien) tout les caractères qui ne correspondent pas à ce que tu attends.

Onet

[Jarodd]

Salut,

Merci pour le tuyau. Pour la fonction j'ai oublié de la copier, elle récupère la valeur postée si elle existe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
function getPostParameters($str) {
	$var = NULL;
	if (isset($_POST[$str]))
		$var = $_POST[$str];
	if ($var == "")
		$var = NULL;
	return $var;
}

Concernant le type de caractères, il s'agit d'une sorte d'agenda, donc tous les caractères sont utilisés (l'utilisateur est libre de son formatage). Par exemple, les caractères < et > sont autorisés (s'il met une présentation du genre "-> date"). A partir de là je veux surtout éviter l'utilisation de failles ou l'injection de code, seulement comme je l'ai dit, d'un site à l'autre les conseils changent donc je préfère savoir si mon code est assez sûr en partant d'un cas général et pas forcément ce cas-là. Mais c'est vrai que les regexp sont un bon moyen, à moins de se tromper dans leur modèle...