Reprise du message précédent :

Bah regarde au début de ton code la vérification sur les cookies et la fonction de selection que tu appelles. Avec ça, n'importe qui peut te faire une SQL injection.
 
 

tu crois que php fait la difference entre un entier et une chaine de caractere ?
ben quand tu faire where id= $id
 
situ met $id =" 1 or 1=1"; ca va te prendre tous les id et pas seulement l'id numero 1.

Oui ca je suis au courant, c'est dans la liste des choses à faire.
 
Je rappelle que c'est en cours de codage et que je peux pas tout faire à la fois, hein.

ouais, mais bon, y a pas que celle-là, hein, l'ensemble du code que tu montre là est truffé de trous similaires.

 
PHP fait très bien la différence entre une chaine de caractère et un nombre, ICI, c'est simplement qu'il AUTORISE à utiliser les chaines en tant qu'entier.  
Je te rappelle que PHP est un langage vraiment crade....
 
Va me faire la meme chose en PostGreSQL et on en reparle.
J'utilise les normes, moi monsieur !

proteger?
 
devellope voir

Vazy juges sur un fichier de fonction dont tu ne connais pas comment sont faits les appels

formidable le PHP, c'est bien le seul langage que je vois qui rame si on include des fichiers

 
un simple preg_match("^[a-zA-Z]$",$var);

proteger = echapper les simples quotes dans le cas de skylight.
' devient \'
avec addslashes par exemple
 
A noter que magic_quotes le fait automatiquement mais c'est pas configure sur tous les servers.

ah ui d'accord.
 
le fait deja ca

Les appels quis sont montrés dans le bout de code suffisent à m'en convaincre. M'enfin bon, c'est vrai que tu fais partie de l'élite, t'a bossé avec joce bla bla bla...

ou nettoyage de la variable grace à la formidable fonction qui s'appelle nettoyer_expression

oui mais bon entre les normes et la sécurité, je choisis direct la sécurité

Sans arguments, tu ne dis rien.

si moi j'y ai lu "ta yeul "
 

spa la peine de troller
 
20 ms c'est peu quand meme mais c'est beaucoup pour une page web
 

évite les contradictions dans tes posts stp

Tout est copie colle de ton code, a part l'initialisation des 2 variables.
 
Resulat :

 
J'ai du mal a voir ce que ca protege.
 
Le resultat version securise :  

Les ' sont transformés en entités HTML, c'est-à-dire & # 0 3 9 ; (sans les espaces)...

non
 
d'ailleurs, j'ai du mal a voir ou ca se ferait dans ta fonction.
 
edit: entree ...
 
$expression = str_replace("'","'",$expression);  
ca fait rien ca.

Quand j'ai copié le source sur HFR (ici) vu que c'était une entité HTML, tu vois un apostrophe
 
En réalité, c'est ceci :
 
$expression = str_replace("'","& #0 3 9 ;",$expression);  
(sans les espaces).

j'ai l'air aussi benêt que ça ?  

c'est quoi ce drop db la?

ah ok d'accord, le forum transforme pas le & en & c'est zarb ...
 
au temps pour moi alors

if (session_is_registered('logged'))
 
 
préférer cette syntaxe :  
=> if (isset($_SESSION['logged']))

un ptit oubli, mais c'est que je n'ai pas encore traité le parsing des url donc ce n'est pas encore un oubli !

C'est parceque pour le signe € par exemple ça merde sec:
Entre les navigateurs qui envoient & #8364;   , ceux qui envoient le code windows, ceux qui envoient le code latin-15, on ne s'en sort plus trop.
 
 
Je n'ai pas codé de forum mais pour les données utilisateurs j'ai fait un petit filtre qui tente de corriger les choses et ça marche pas mal.
 
Les caractères html &xxxx semblant valides sont conservés, les & dans un séquence semblant non valides sont transformés en & et les autres caractères windows qui reviennent souvent sont également transformés en entités valides.
 
Donc en écrivant &amp ;#8364; on voit l'entité html

apprend donc le php au lieu de nous dispenser des trolls de bas étage

Je confirme

 
Bon g tendance à me répeter, mais non, j'utilise pas ou peu de style CSS !
Je fais tout comme un barbare avec des variables !
Voici quelques url pour un aperçus :
http://forum.free-bb.com/?sid=1&skin2=XP
http://forum.free-bb.com/?sid=1&skin2=light
http://forum.free-bb.com/?sid=1&skin2=blue
http://forum.free-bb.com/?sid=1&skin2=uwbb
http://forum.free-bb.com/?sid=1&skin2=7D
http://forum.free-bb.com/?sid=1&skin2=GCL
 
Et c'est pas lent ! avec sa j'arrive toujours à de trés bon résultats !
Et je peu tout changer moa sur mon forum, y a pas que la couleur des cellules, des tableaux et des liens qui change.

personnellement, j'envisage la chose comme suit:
chaque style a un nom évidemment unique, lequel détermine le nom du CSS (le même, pour faire simple), et en dessous, un répertoire contenant icônes, images et compagnie, référencées soit par les pages web elles-mêmes (mais le répertoire est évidemment dynamique), soit par les CSS qui les utilisent.

j'utilise un truc un peu similaire, mais c'est une para.php qui contient toutes les variables en html.
entète et tout...
Cela dans un dossiers différent à chaque fois...

dans le genre je dénigre sans connaitre, c'est pas mal

moi j'ai un repertoire  
 
skin
 
constitué de plusieurs répertoires (un par theme)
 
donc  
skin/theme_default
skin/user_theme1
..
 
ensuite chaque répertoire de skin comprend son css plus les images.
ca marche pas mal d'alleuir
 
et dans mon back-office je fait un listing avec un readdir du répertoire skin/
 
[edit] des fautes pour Mr antaipai

 
dés maintenant -> dès maintenant
developement -> développement
Possez -> Posez

chacal> oui, je devrais mettre le CSS dans le répertoire theme directement (je l'appelle theme mais bon c'est kifkif )

scull > mwai, on va dire que ya peu de personnalisation, hein... donc en CSS c'est parfaitement jouable.
 

http://forum.free-bb.com/?sid=1&skin2=skinbidon : magnifique !

j'en était sur...
super et alors ?