Reprise du message précédent :
Tout seul ca protège il me semble, mais faut voir si un parsage foireux des bbcodes réintroduit pas une faille.

Si ça fonctionnait, ça serait une faille du navigateur, pas du script du forum.
Qui plus est, okey pour afficher une alert (en cas de faille du navigateur) mais de là à écrire un script complet même minime qui passe à travers le htmlentities, non, j'y crois pas.
 
Je peux me tromper, mais je vois pas.

htmlentities va transformer ton truc en <img src="javascript:alert('bla')"> hein
 
À la limite ya ptet quelques forums dans lesquels on peut injecter des trucs dans les liens genre test mais voila

Je pense qu'il pensait plutot à quelquechose du genre [img ]javascript:alert('bla')[/img] qui donnerais en résultat ce qu'il a écrit.
Mais là, on en revient à ce que j'ai dit plus haut et dans ce cas, il suffit de s'assure que l'[IMG] est bien [IMG ]http://(.......)[/IMG]
 
Edit : test
[img]toto.com/image.gif[/img]

 
Edit 2 : Ha bah je pense que c'est comme ça que fait Joce.

il parlait surement de mettre du js dans les balises [img]
 

Vala, suffit pas de se dire j'ai fait un htmlentities, j'aurai pas de JS, je n'y pense plus.

c'est les "magicquote" qui sont soit activé, soit desactivé dans php.ini

Je rappelle, juste pour ceux que ça intéresserait, que dans le cas de l'impossibilité de modifier le php.ini en cas de changement d'hébergeur fréquent, on peut désactiver les magic quotes dans un .htaccess
 

et que mysql_real_escape_string c mieux

Sinon il te suffit de tester un, tu utilises get_magic_quotes_gpc ça rend "true" si les magic_quotes sont actives et "false" sinon, au moins tu sauras

Ma fonction :

Suffit de modifier ta fonction en

function securite($texte){
    if(get_magic_quotes_gpc())
        $texte = trim(htmlentities($texte));
    else
        $texte = trim(htmlentities(addslashes($texte)));
    return $texte;
}

Et accessoirement, addslashes est non-sûre et doit être considérée comme dépréciée, il faut utiliser les fonctions spécifiques des différents SGBD ou (encore mieux) des prepared statements si tu as accès à PHP5, genre PDO

Et accessoirement je suis pas fan du combo db_escape + htmlentities en une fois, l'escape c'est quand tu mets ton truc dans la DB et l'htmlentities c'est pour quand tu l'affiches

Euh, je veux pas t'apprendre l'Algorithmique mais c'est quand même plus simple (optimal) d'écrire ça :
 

 
J'éviterai de parler de ça...

 
 
 
 
(et j'suis sûr qu'il y en a bien un pour faire un benchmark de mon bidule et qui va me sortir que c'est out lent )

voila

 
C'est dégueu, faut faire une fonction qui fait des stripslashes pour tous les paramètres POST/GET/... et faire un mysql_brol avant inserstion dans la base de données. Imagine que tu veuilles faire des traitements sur ta chaine, tu les feras avec échappement.

or die (mysql_error());
 
EDIT : il y a peut être un probleme au niveau des double quotes autour de $id non?

n'empêche, c'est mieux de faire :
 
if (glop) return truc; else return prout;
 
que :
 
if (glop) $texte = truc; else $texte = prout;
return $texte;
 
Ca fait 1 affectation de texte en moins (i.e. une allocation + duplication de mémoire en moins).

return (plop) ? truc : prout;

Oui il manque apparemment une simple quote ' à l'intérieur.

 
C'est un id, inutile de l'entourer de quotes.

Ouais aussi mais là le gain de temps moins évident et côté lisibilité aussi c'est moins évident mais sinon ouais.

Ah oui merde. Je viens de me lever, j'ai pas encore les yeux en face des trous.
 
Note pour plus tard : ne pas venir dans la cat Programmation avant que je sois réveillé depuis au moins 3h.

J'ai un petit problème de logique pour mon compteur de connectés...
 
On compte le nombre d'utilisateurs ayant effectué une action dans les n dernieres minutes seulement?
Si un bonhomme affiche l'index (ou une autre page) pendant n+1 minutes on l'enleve des connectés jusqu'a ce qu'il reclique, c'est ça ou pas?
 
EDIT : et une personne qui est hors ligne on l'enlève directement ou pas?

Perso, quand une personne va sur l'index (ou autre part sur le forum), ça mets à jour une table "session" existante avec l'id du membre, l'heure, tu peux aussi éventuellement donner un n° d'action si tu veux "pister" ce que fais quelqu'un.
Ensuite, pour avoir le nombre de connecté, je pioche dans la table tous les connectés où la date est inférieur à instant-10 minutes.
Perso, si la personne se déconnecte, elle reste donc affichés pour 10 minutes, mais si je voulais faire en sorte qu'on ne la voit plus, il suffirait de vider la table "sessions" avec les lignes du membre en question.

Ok, merci

C'est ce que je fais, ça veut pas dire que c'est la meilleure solution.

je dirait plutot l'id de session en compte pour pouvoir compter le nombre d'invités.
et ensuite simplement supprimer toutes entrées de la table qui ont une durée de vie trop grande avant de simplement compter le nombre de ligne de la table ...

Non, il est à 10 minutes je crois, il avait passé à 15 minutes pour faire comme phpBB.
 
Par contre, moi avec ma méthode, le nombre de connecté n'affiche que les membres, pas les invités.

Sinon, avant, j'étais à 5 minutes aussi, mais du coup, j'avais des membres qui "clignotais" genre "je disparais et je réapparais 20 secondes après avoir disparu", pour peu que le membre lise une longue page ou fasse autre chose en même temps, c'est un peu juste.

En fait je faisais pareil mais ça m'emmerdait de faire une requete supplémentaire à chaque page pour màj les utilisateurs.
 
Alors j'ai opté pour un truc :  
lorsque l'utilisateur se loggue > ajout d'un champ dans une table online
lorsqu'il se balade > un REPLACE INTO sur son id utilisateur
lorsqu'il se déconnecte > Suppression de la table online
 
Et pour l'affichage des connectés je prend tous ceux supérieurs à 5mn (réglable ensuite).
 
C'est correct comme technique?

 
Ah voilà exact c'est ça qui n'allait pas
 

il est à 5mn

moi je compte sur 15 min, c'est une bonne base je trouve

quelqu'un peut faire un récapitulatif de ces durées et de pourquoi il a choisi cette durée ?
 
ça serait pas mal de dégager un consensus, surtout que je pense pas que la durée en elle-même est importante, par contre que tout le monde ait la même me parrait pas mal.

Question de choix. La durée la plus standard (phpbb notamment) est de 10-15 minutes. Sachant que ça sert à dire qui est sur le forum = qui lit encore des trucs et risque de cliquer sur des sujets, ça me semble beaucoup trop et une valeur de 5 minutes me semble bien plus normale.

Donc moi, c'est 10, pour ces raisons là :

moi j'ai fait ca :
 

 
par contre je sait pas si c'est le mieu

si par securité, sinon tu peux faire du sql injection si ton code est pas protegé par oublie ou negligeance.

tu te met a coder un forum ?