Sécurisation des variables entrantes

Sécurisation des variables entrantes [Réglé]

Frenchbulldog Membre non connecté

Booster Mortier

Le 01/02/2009 à 11h14

Booster Mortier
Voir le profil du membre Frenchbulldog
Inscrit le : 20/11/2008
Site internet

Je voudrais sécurisé mes variables entrantes, mais je suis pas sur que cet article soit à jour :

http://www.phpboost.com/wiki/securisation-des-variables-entrantes

Si quelqu'un pouvait m'éclairer? =)

Merci

Comtois, rends toi! Neni ma foi!

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 01/02/2009 à 11h16

#46252

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Sur quelle version ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Frenchbulldog Membre non connecté

Booster Mortier

Le 01/02/2009 à 11h22

#46256

Booster Mortier
Voir le profil du membre Frenchbulldog
Inscrit le : 20/11/2008
Site internet

3 pardon.

Comtois, rends toi! Neni ma foi!

Frenchbulldog Membre non connecté

Booster Mortier

Le 01/02/2009 à 11h51

#46267

Booster Mortier
Voir le profil du membre Frenchbulldog
Inscrit le : 20/11/2008
Site internet

Je viens de trouver la fonction retrieve();

Est ce qu'il s'agit de celle la?

Comtois, rends toi! Neni ma foi!

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 01/02/2009 à 11h53

#46268

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Effectivement ce n'est plus du tout pareil.
Si tu veux récupérer une chaîne qui soit à injecter directement en base de données, tu fais ceci :

Code PHP :

//Je récupère la variable dont le nom est title passée en POST, si elle n'existe pas la valeur par défaut est la chaîne vide. Le contenu est prêt à être inséré en BDD (sécurisé).
$ma_var = retrieve(POST, 'title', '');
//Je récupère la variable dont le nom est title passée en POST, si elle n'existe pas la valeur par défaut est la chaîne vide. Le contenu est prêt à être inséré en BDD et sera parsé (BBCode et compagnie)
$ma_var = retrieve(POST, 'title', '', TSTRING_PARSE);
//Je récupère un entier en GET, variable page, valeur par défaut 0
$ma_var = retrieve(GET, 'page', 0);

Voilà, ce ne sont que des exemples en attendant une doc complète. En fait le mieux est que tu poses des questions quand tu ne sais pas comment faire tant qu'on n'a pas la doc.

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 01/02/2009 à 12h12

#46277

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Non, c'est pas compliqué.
retrieve prend plusieurs paramètres :

Le premier est la provenance du paramètre (POST, GET, REQUEST)
Le deuxième est le nom de la variable au sens HTTP (le nom donné à ton champ de formulaire par exemple)
La valeur par défaut de ta variable si elle n'existe pas
Le type de la variable (pas nécessaire généralement car détecté automatiquement, mais il permet de forcer des traitements dans certains cas).

Que veux-tu faire de la variable que tu récupères ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Frenchbulldog Membre non connecté

Booster Mortier

Le 01/02/2009 à 12h12

#46278

Booster Mortier
Voir le profil du membre Frenchbulldog
Inscrit le : 20/11/2008
Site internet

J'ai un petit souci avec cette fonction, lorsque je passe un variable en get du type : 33CC66

Elle s'arrête au 33, comme si il n'était pas possible de récupérer des valeurs lettres et chiffre en même temps, du type code de couleurs.

NB : désolé j'ai effacé mon post entre temps car j'ai trouvé la soluce à ma question précédente.

C'est pour mon module de générateur de userbar, avec des variables du type text=mytext&color=33CC66

Édité par Frenchbulldog Le 01/02/2009 à 12h15

Comtois, rends toi! Neni ma foi!

alain91 Membre non connecté

Booster Missile

Le 01/02/2009 à 12h16

#46281

Booster Missile
Voir le profil du membre alain91
Inscrit le : 26/09/2010
Groupes :

Quel est l'appel que tu fais pour ce qui apparait un code couleur ?

Le pessimisme est d'humeur. L'optimisme est de volonté (Philosophe Alain).

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 01/02/2009 à 12h16

#46282

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Tu as dû l'appeler avec une valeur par défaut numérique non ?
Si tel est le cas, c'est tout à fait normal qu'elle fasse cela.
Je te suggère donc ceci pour récupérer une couleur hexadécimale :

Code PHP :

$ma_variable = retrieve(POST, 'nom', '000000', TSTRING_UNCHANGE);

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Frenchbulldog Membre non connecté

Booster Mortier

Le 01/02/2009 à 12h21

#46286

Booster Mortier
Voir le profil du membre Frenchbulldog
Inscrit le : 20/11/2008
Site internet

Effectivement ça marche très bien, je pense que je vais me lancer un coup dans la lecture approfondie du fonctions.inc.php.

Comtois, rends toi! Neni ma foi!

Créations de Modules

Répondre

Vous n'êtes pas autorisé à écrire dans cette catégorie