insertions vides dans formulaire

Version imprimable

Voir 40 message(s) de cette discussion en une page

alors, voici mon nouveau code. qu'en pensez vous?
formulaire:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
<?php
$token = hash('sha1', uniqid(rand(), true));
$_SESSION['token'] = $token;
?>
...
<form id="form_register" method="post">
	<p><input type="text" name="f_name" size="40" maxlength="40" required="required"></p>
	<p><input type="text" name="l_name" size="40" maxlength="40" required="required"></p>
 	<input type="hidden" name="token" value="<?php echo $token; ?>">
	<p><button type="submit" class="btn"><span>Valider</span></button></p>
</form>
...

fichier de traitement php:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
$token_form = (isset($_POST['token'])) ? $_POST['token'] : "no_tok_form";
$token_sess = (isset($_SESSION['token'])) ? $_SESSION['token'] : "no_tok_sess";
 
if($token_form === $token_sess) {
	unset($_SESSION['token']);
 
	$civility = $_POST['civility'];
	$email = trim($_POST['email']);
	...
 
	$ins = $dbh->prepare("INSERT INTO directory (civility, ...) VALUES (?, ...)");
	if($ins->execute(array($civility, ...))) echo "ok";
	else {
		echo "erreur";
		exit();
	}
}
else exit();

toute petite question, est ce que je dois mettre:
1- un exit() pour le dernier 'else'
2- afficher un message d'erreur
3- mettre une redirection header(Location: accueil.php)
4- enlever tout simplement le 'else'.

je ne sais pas trop ce qui doit etre fait par rapport a l'indexation des moteurs de recherche!

Merci ;)

09/11/2010, 08h38
grunk

Citation:

j'aurais 2 questions a te poser stp:
1- apres avoir verifier le token et proceder a l'insertion des donnees, devrais-je supprimer la variable de session apres?
2- dois je utiliser un token uniquement pour les appels ajax qui contiennent un INSERT? car j'ai d'autres appels avec des UPDATES ou SELECT

1- Comme de toute manière la variable sera remplacée par un nouveau token le moment venu il n'est pas nécessaire de la supprimer. Mais c'est pas non plus nécessaire de garder des données inutiles. Donc tu fais bien comme tu veux ^^

2- Je le fait sur tout appel à formulaire (ajax ou non) ce qui permet d'être à peut près sur que c'est bien le formulaire de mon site qui a été soumis et non pas une attaque venant de l’extérieur.

Citation:

toute petite question, est ce que je dois mettre:

J'aurais tendance à dire que renvoyer un status Forbidden avec un header peut être intéressant.
09/11/2010, 14h22
redah75

merci pour ces precisions ;)

j'ai mis un header("HTTP/1.0 403 Forbidden"); pour le dernier else, mais rien ne semble se passer. ce header n'est il pas censé afficher une erreur 403 ?

derniere question :D
j'ai un autre dossier qui contient que des fichiers a inclure (header, footer, quelque formulaires, ...) dois je les proteger aussi ? je ne sais pas comment les moteurs de recherches considerent ces fichiers...!!
09/11/2010, 17h18
grunk

Citation:

j'ai mis un header("HTTP/1.0 403 Forbidden"); pour le dernier else, mais rien ne semble se passer.

Tu dois avoir dans les entetes http renvoyée le code 403. Après c'est possible qu'il manque d'autres header pour afficher réellement la page 403 fournie par ton serveur.

Citation:

j'ai un autre dossier qui contient que des fichiers a inclure

Un .htaccess avec deny from all à l'interieur empêchera quiconque d'y accéder. La meilleure solution étant encore de sortir ce dossier de la racine accessible depuis le web.
09/11/2010, 17h44
redah75

Citation:

Tu dois avoir dans les entetes http renvoyée le code 403. Après c'est possible qu'il manque d'autres header pour afficher réellement la page 403 fournie par ton serveur.

mais comment est ce que je peux faire pour afficher une erreur 403?
09/11/2010, 19h09
redah75
j'ai trouvé une solution mais je ne sais pas si elle est bien:
Code:

1 2 3 4 5 else { header("HTTP/1.0 403 Forbidden"); header("Location: /error-403.html"); exit(); }
dois je mettre HTTP/1.0 ou 1.1 ??

Citation:
Envoyé par redah75
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 if($token_form === $token_sess) { unset($_SESSION['token']); $civility = $_POST['civility']; $email = trim($_POST['email']); ... $ins = $dbh->prepare("INSERT INTO directory (civility, ...) VALUES (?, ...)"); if($ins->execute(array($civility, ...))) echo "ok"; else { echo "erreur"; exit(); } } else exit();
toute petite question, est ce que je dois mettre:
1- un exit() pour le dernier 'else'
2- afficher un message d'erreur
3- mettre une redirection header(Location: accueil.php)
4- enlever tout simplement le 'else'.

je ne sais pas trop ce qui doit etre fait par rapport a l'indexation des moteurs de recherche!

Merci ;)
Déjà dans le premier else, "erreur" ne s'affichera jamais si tu mets un exit juste après. Si tu veux quitter le script et en même temps afficher un message d'erreur tu peux écrire pour ton premier else : exit("erreur de requête");

Pour le dernier else tu pourrais faire la même chose : else exit("l'accès à cette page est restreint");

Mais tu pourrais faire aussi une redirection vers une page d'erreur personnalisée : header("Location: ma_page_erreur.php");exit;

Par ailleurs tu pourrais également personnaliser les messages d'erreurs 403 etc. cf http://fr.wikipedia.org/wiki/Htaccess

13/11/2010, 02h31
redah75
Bonjour ABCIWEB, je n'ai pas recu de notification pour ta reponse, c'est par hasard que consulte cette page!!

Citation:

Déjà dans le premier else, "erreur" ne s'affichera jamais si tu mets un exit juste après. Si tu veux quitter le script et en même temps afficher un message d'erreur tu peux écrire pour ton premier else : exit("erreur de requête");

au fait, je n'ai pas qu'un echo "erreur"; j'ai 2 autres instructions...

Citation:

Mais tu pourrais faire aussi une redirection vers une page d'erreur personnalisée : header("Location: ma_page_erreur.php");exit;

justement, c'est la question que j'ai posee dans mon dernier post.
j'utilise des pages personnalisées 404, 403 et 500 via un htaccess. et voulais justement savoir si
Code:

1 2 3 4 5 else { header("HTTP/1.0 403 Forbidden"); header("Location: /error-403.html"); exit(); }
etait une bonne solution. je ne sais pas si 2 headers qui se suivent est une bonne chose!!
13/11/2010, 02h53
ABCIWEB
Ben non, une page ne peut pas se rediriger vers deux autres pages.
Gardes uniquement la redirection vers la page personnalisée dont tu maitrise le contenu :
Code:

1 2 3 4 else { header("Location: /error-403.html"); exit(); }
13/11/2010, 03h01
redah75

merci pour la reponse tres rapide ;)
Bonne nuit :)
15/11/2010, 21h53
redah75

Bonsoir,
j'aurais une autre petite question qui traite pas du meme sujet mais j'espere quand meme avoir une reponse :)

je suis un peu en gallere pour gerer les dates en differents formats...
j'ai un site bilingue voire meme trilingue:
1- francais
2- anglais (international)
3- anglais (UK)
lorsque j'extrait une date d'une bdd, j'ai un peu de mal a l'afficher en anglais et francais.
j'ai pour l'instant un fichier de config par langue qui formate la date mais je ne vois pas trop comment l'utiliser. si avec un sprintf, vsprintf ou vprintf...
si vous pouvez m'eclairer un peu.
Merci infiniment
16/11/2010, 16h24
redah75

je suis peut etre pas a la bonne rubrique??? :roll:

Voir 40 message(s) de cette discussion en une page