Reprise du message précédent :

 
workflow -> flot de données
 
raw text -> texte brut/pur  (quoique There Ain't No Such Thing As Plain Text. )
bottleneck -> goulet

Qui est encore plus moche en français qu'en anglais

\o/

Beurk

 
pour workflow ouais, mais goulet c'est assez courant il me semble, dumoins ca me choque pas du tout.

Processus (ou éventuellement "chaine de travail" )
 
C'est Dataflow le flot de données.

 
En même temps le is_numeric() est à mon avis plus adapté qu'un addslashes ^^
 

 
C'est plus gourmand  

bon ben apparement t'y connais rien, car le sql injection via ces variables sans guillemet sont trés courante...

Ouais, le truc super cool c'est que l'attaque prend... ouh là... un caractère de plus quand tu 'protèges' ton truc avec des guillemets
 
Franchement, je suis probablement trop con mais je vois vraiment pas l'intérêt d'utiliser 18 méthodes de "protection" différents quand on peut n'en utiliser qu'un qui fonctionne dans toutes les situations possibles et imaginables

 
1/ j'ai pas compris ta phrase a propos d'un caractere (quel caractere? exemple ?)
 
2/ ben protection a multiniveau, ca complique la tache du hacker et ca te protege au cas ou une protection est defaillante ou oublié.  Quand t'as des dizaines de milliers de ligne, ben il se peut qu'a un endroit de code tu oublie de faire ton controle is_numeric ou bien que tu oublie de mettre les guillemet. Ca te fait 2 fois moins de chance d'avoir une faille .  
C'est une question de probabilité, plus tu as de couche de protection, et moins tu as de chance d'avoir une faille.
 

T'as jamais songé à centraliser ton système de sécurisation? (je vais me répèter hein, mais les prepared statements c'est fait pour ça, ou les ORM construits par dessus si tu veux encore plus d'abstraction)
 
Si tu effectues toujours un unique appel simple à un unique système simple, tu ne risques pas de l'oublier ou que ce soit (et quand bien même, ça n'aurait aucun impact sur la sécurité intrinsèque du code puisque si tu l'oublies le code ne fonctionne tout simplement pas).s

Pas vraiment non, ça augmente le nombre de branchements de ton code et sa complexité, et ça augmente les difficultés de maintient puisque tu augmentes le nombre de branchements avec le nombre de types de données.
 
Quand tu n'as à gérer et maintenir qu'un seul code path universel, ton application et son maintien sont simplifiés, et tu réduits la probabilité d'erreurs puisque le nombre d'erreurs dépend directement du nombre de statements de ton code. C'est le (l'un des) principe(s) derrière l'acronyme "KISS"

Knight In Service of Satan  
ils font du php eux ?

bon, de toute façon la sécurité c'est personnel au final, chacun voit le niveau de sécurité qu'il veut mettre.
 
edit: j'espere pour toi qu'il n'y aura jamais de faille ou de bug dans la fonction is_numeric

Ne t'inquiète pas pour moi, j'ai autre chose à foutre qu'écrire mon code d'escaping manuellement
(mais apparement ça t'as pas envie de le comprendre )

tu ne m'as pas trop convaincu, c'est tout
 

Pas trop convaincu de quoi? de l'avantage de faire

cursor.execute('SELECT foo, bar, baz FROM mytable WHERE id=%d', (id,))

ou bien

cursor.execute("SELECT foo, bar, baz FROM mytable WHERE name='%s' AND surname='%s'", (name, surname))

sans avoir à se préoccuper de la sécurisation des données injectées?
 
Ou bien encore de l'encore plus drôle

user = Users.find_by_name_and_surname(name, surname)

au lieu de se manger des trucs du style

mysql_query("SELECT * FROM users WHERE name='".mysql_real_escape_string($name)."' AND surname='".mysql_real_escape_string($surname)."'" );

ou le légèrement moins pire

mysql_query(sprintf("SELECT * FROM users WHERE name='%s' AND surname='%s'",
        mysql_real_escape_string($name),
        mysql_real_escape_string($surname)));

Page 404

qui a dit que c'est ce meme flic qui fouille.
 
Sur le mien, y'a un flic à l'entrée qui verifie tous les gens qui passent. Ensuite, y'a que des gens dont on sait qu'ils sont sans danger puisqu'ils ont été fouillé.
 
Et pour mon forum comme pour le tien, tu sais dejà qui sera à meme de rentrer vu que tu ne traite qu'un certain nombre de variables de l'exterieur.
 
Je controle tout ce qui rentre, et les variables que j'utilise pour mes traitements et autres ne sont pas celles qui viennent de l'exterieur. Elles sont initialisées lors de la phase de contrôle. Donc si j'ai oublié de contrôler une variables en entrée, celle que j'utilise ne sera pas renseignée. Ca ne va pas plus loin.
 
Pourquoi mettre le bijoux dans le coffre si la maison est "invioable"?
 
Et je ne veux pas mettre plusieurs couches parce que je sais que ce que j'utilise est verifié.

 
goulot d'etranglement. C'est le terme français. On l'a parle, autant ne pas trop melanger et faire du franglais. J'ai l'impression de lire un commercial

 
ça augmente surtout le nombre de conneries que tu peux écrire ou oublier dans ton code, au final ça en augmente potentiellement le nombre de failles
 

 
En effet

Pourquoi sur HFR, dès que quelqu'un décide de ne pas faire comme on vous a formaté, c'est tout de suite des conneries ce qu'il fait ?
 
Vous pouvez pas dire tout simplement "On fait pas comme ça, tu fais comme tu veux après tout, tu connais notre point de vue et notre façon de faire, tu la prends si tu veux."

 
Pourquoi quand on essaye d'expliquer un truc à quelqu'un qui a dit ne pas encore être convaincu on a été formaté ?

Formaté, ça n'a rien de péjoratif hein ?  

 
Bha à part pour une disquette, dans ta phrase ca me paraissait péjoratif Tu sous-entends que toute personne qui est d'accord avec "la méthode conseillée par les professionnels de la profession officielle acréditée" a forcément cet avis car c'est d'eux qu'elle tire son choix. On peut en étant autodidacte aussi arriver à la même conclusion, et arriver au passage à la conclusion que l'autre manière est inférieure/inefficace voire stupide, auquel cas on a envie d'argumenter pour défendre son avis.
 

Je suis complètement d'accord.
C'est juste que je trouve dommage qu'ici, ça se termine toujours pas "T'es con" plutot que "On t'a dit comment faire, tu fais ce que tu veux".
Parce que par définition, si tu dis "t'es con", la personne ne tiendra compte d'aucun argument valable que vous pourriez donner par la suite.    
 
Et quand je dis "formaté", ça n'est pas péjoratif, une disquette (pour reprendre ton exemple), on la formate pour lui dire de comment recevoir les informations après, en tant que programmeur, on vous a appris à faire de cette façon là. Si ce n'est pas le cas, c'est encore plus du foutage de gueule de lui dire "t'es con" si vous avez fait la même chose avant.  

En l'occurence non, tout ce dont j'ai parlé dans cette discussion on ne m'a pas appris à le faire (en termes scolaires, puisque je présume que c'est ce dont tu parlais), ce sont soit des choses que j'ai découvert par moi même soit des enseignements que j'ai tirés de textes de tierces personnes.

Non non, je ne parlais pas forcément en termes scolaires.
 
Enfin bon, on va pas faire un HS sur la psychologie de l'être humain, mais c'était juste pour dire que quand quelqu'un dit "Je fais A+B=C", il vaut mieux lui dire "Tu ferais mieux de faire C=A+B" plutot que de lui dire "Ce que tu fais, c'est des conneries, mais t'es con ou quoi ? Faut faire C=A+B tête de pioche".
Parce que l'homme normal se sera arrêter après "ou quoi ?".

Bon, je vais vous donner un scenario pour vous montrer qu'il peut y avoir une faille par negligence:
 
J'ai la fonction
 
supprimer_message($id)
{
 
mysql_query("delete from ... where id=$id" );
}
 
Ensuite, comme vous l'avez dis, je fais:
 
if(!is_numeric($id))
echo "erreur";
else
{
//code
supprimer_message($id);
//code
}
 
 
Quelque temps plus tard j'ai un collegue qui travaille sur le meme projet que moi, on lui demande une autre page ou l'on supprime un message, donc il va reprendre la fonction supprimer_message() mais comme il est pas au courant qu'il faut tester la variable $id, ben voila une jolie nouvelle faille.
 
Vous allez dire qu'on peut mettre le test dans la fonction, mais il se peut qu'on utilise la variable $id dans le reste de la page, donc faut faire le test une seul fois en haut de page, sinon on risque de faire plusieurs fois le meme test.
 
Donc pour moi mettre des guillemets c'est preventif. Dans un script php, pour moi c'est une faille de laisser un numeric sans guillemet dans une requete, car l'on peut modifier le contenu des variables. (j'ai dis POUR MOI, vous avez le droits de penser le contraire).

Quand je parlais de conneries je n'ai absolument pas dit que ce qu'il fait en  sont... donc faudrait lire avant...
 
Quand je dis qu'il y a un risque de faire des conneries en rajoutant des "protections" à outrance c'est que tu risques de mal les coder et donc d'avoir en fait des cochonneries inutiles dans ton code. Après ais-je dit que son code en était truffé ? Je ne pense pas...

 
 
En même temps c'est ton code qu'est mal conçu là... en général quand une fonction doit être portée ailleurs, c'est dans ta fonction qu'il faut tester si la variable est bien numérique et non à l'extérieur.

Fabien > va lire un livre sur les aspect et/ou le design par contract, ça te fera du bien...

Z'êtes lourds à être aigri comme ça ...

C'est pas une question d'être aigri. Y a des type vachement calés qui ont déjà planché sur ces types de problèmes. Et sous prétexte que ce sont des projets persos, y en a qui jettent des théories qui ont été prouvées et validées en disant que c'est de la merde sans chercher à comprendre...

Je comprends bien, mais tout ça manque de formes

Fabien ne fait que rajouter une couche de sécurité supplémentaire pour une perte de perf minime.
Faudrais voir à pas abuser non plus.
 
Quand tu dis que ça a été testé et approuvé, tu parles de qui ?
 
T'as un bench qui montre que dans :

le is_numeric ne fait pas perdre plus de temps que de faire simplement
 

 
Dans les 2 cas, tu vérifieras derrière de toutes façons que le résultat donne quelquechose, donc, comme Joce a dit, ça va te couter du temps machine pour convertir la chaine en numérique, mais est-ce que ce temps sera supérieur ou inférieur à une condition supplémentaire en PHP ?
Et surtout, puisqu'il vaut mieux faire les 2 de toutes façons, est-ce que la perte de perf justifie que tu t'énerves comme ça ?

'tain mais vous êtes bouché c'est pas possible!! Il ferait un prepared statement, il n'aurait pas à faire ces putains de vérification à la con ni cette concaténation. Et accessoirement, on parle de sécurité, pas de gagner un dixième de millionnéme de seconde dans une opération triviale.
 

Je vais te faire une démonstration de ma théorie de tout à l'heure.
 
Je suis ici pour apprendre, je me suis donc arrêté aux points d'exclamations. Le reste ne m'intéresse pas, plutot que "vous êtes bouché", j'aurais voulu une contre argumentation concrète, pas un "t'es con" dit autrement mais qui veut dire la même chose.

 
Oui seulement ton code ne sera pas réutilisable, tu demandes un truc impossible : avoir un code réutilisable et sans failles... qui s'adapte à n'importe quel site tout en codant ça à l'arrache... c'est normal    
 

 
Dans les deux cas oui mais faire un simple intval, faut bien vérifier qu'il y a quelque chose dans l'url pour savoir si t'affiches un topic ou non ^^ (à moins que tu passes par deux pages différentes, une pour afficher les topics et l'autre pour les posts). donc au final autant prendre un is_numeric() ;-)

attention, j'arrive à mettre un objet possédant 3 champs dans la base, je sens que je deviens dangereux pour le business-model de joce
 
dans 3 ans, j'affiche une liste de messages sur la sortie standard et je conquiers l'internet

 
Quand ça fait plus de 5 pages que Masklin et d'autres répètent et prouvent que les autres solutions sont meilleurs, je pense qu'on peut effectivement y voir un peu de connerie...

J'ai lu les 5 pages et je n'ai vu aucun argument concret qui prouve qu'il ne faut pas mettre de guillemet à part la remarque de Joce qui dit qu'on perd en perf, les autres messages, ce n'était que du "Tu ne dois pas faire ça" plutot que du "Voilà, je te montre pourquoi tu ne dois pas faire ça".
   
 
Okey, disons que j'ai mal lu les 5 pages, concrètement, c'est quoi les inconvénients de rajouter des guillemets ?

Ce n'est pas "tu ne dois pas" c'est "ça ne sert à rien" c'est pas pareil...