Reprise du message précédent :
Le captcha par calcul, il me semblait que ça faisait longtemps que ça avait été "cracké" par les bots. Le recaptchae, est très efficace, même moi j'ai parfois du mal à lire l'image.
 
Je vais tenter ma solution, et si ça marche pas je repasserai à du captcha plus classique.
 
Si vous avez vu la nouvelle solution rapidshare, c'est sympa aussi, mais à mon avis ça peut faire fuir certains newbie.

Le truc de rapidshare c'est ce que je disais au dessus, c'est totalement illisible, meme pour un cerveau... donc le bot il est clair qu'il doit se faire niquer

je suis allé voir le site, j'ai pas trouvé de captcha ?
 

 
un petit coup de google image
 

'tain.

Dans l'exemple, il faut trouver LKOI mais je ne suis meme pas sur

you fail

 
Qu'elle loose
 
Bon le mien on peut le lire au moins
 

On cherche une image, pas un chat

4 lettres avec un chat ? heu... chat ?

Il est vraiment ignoble celui là, ça marche une fois sur 3 ou 4
En plus, il n'y a pas toujours le même nombre de chats...
 
Je les soupçonne de faire un truc aussi merdique pour forcer les visiteurs à devenir clients  

Comment vous gérez l'unicité des login/email? Je vois que souvent vous utilisez du MyISAM, alors je me posais la question du problème de "race condition". Ou alors vous dîtes que vous acceptez le 0.000001% de chance que 2 login identiques arrivent au même moment?

Si tu fais des lock de tables, t'as pas ce problème à priori

ben tu connais pas la "fonction" unique lorsque tu créé une table?  

Il faudrait vraiment que je teste MyISAM, j'ai du mal à me rendre compte de la vitesse que peut avoir un "lock table + select" par rapport à une transaction dans InnoDB.
 

Oué mais c'est pas pratique pour l'utilisateur, parce que ça veut dire qu'il faut séparer 2 stades de validation des paramètres rentrés, j'ai déjà testé avec cette tactique et j'aime vraiment pas.

t'a presqu'aucune chance d'avoir deux personnes qui veulent le meme pseudo à la meme seconde, donc je pense que tu t'embete pour rien.
 

La plus grande chance est le double click sur le bouton de validation du formulaire.
 

Bloque le bouton en JS au premier click...

Un seul stade suffit, tu valides tout dedans et renvoie les messages adéquats à l'utilisateur.

 
Et de toute façon php fonctionne seulement en prefwork, donc si on met toutes les requettes sql dans un seul php, les requettes ne pourront donc pas se chevaucher, (sauf a utiliser des requettes delayed mais bon)

Avec un lock oui, mais si tu te bases sur l'unicité de l'index non parce que la validation dans ce cas a lieu au moment de l'INSERT. Alors que par exemple si l'utilisateur tape un mot de passe trop court, il faudra bien lui dire avant de faire l'INSERT. Donc il corrige son mdp, et ensuite on fait l'INSERT et là on est obligé de lui dire que finalement c'est son login qui ne va pas.
 
Initialement t'es obligé de faire un SELECT avec un lock, donc là tu vois si le login est dispo, et ensuite tu vérifies si le mdp est ok.

Oui, j'ai une validation business pour vérifier que les données (e-mail, pseudo, mot de passe, etc.) rencontrent des critères minimum, et s'ils sont satisfaits, je tente l'insertion. Si elle échoue, j'analyse l'erreur et je remballe un message compréhensible à l'utilisateur, style le pseudo ou l'e-mail sont déjà pris. Donc pas de lock.

Je suis en train de mettre en place mon site. Pour les privilèges que l'appli va avoir sur la bdd, je peux lui donner quoi? select, update, insert, delete devraient suffire? autre chose?
 
Pour tout ce qui est administration de la bdd, je préfère faire ça en dehors du site lui-même, donc tout ce qui est alter table, etc se fera à l'aide d'un autre compte mysql.
 
Vous auriez une liste de commandes sql à copier/coller?
 
J'ai vu qu'ils y en a pas mal qui y vont cash en donnant comme privilège GRANT ALL on bdd.* to 'user'@'localhost', c'est carrément dangereux de faire ça non?
 
Je pensais à:
GRANT USAGE ON *.* TO 'user'@'server.domain';
GRANT SELECT,INSERT,UPDATE,DELETE ON db.* TO 'user'@'server.domain' IDENTIFIED BY 'password';

Tiens, je decouvre ce thread, et je peux vous proposer un très bon script de forums français, pas de moi mais c'est moi qui ai fait son design :
http://www.fire-soft-board.com/
 
Je ne sais pas si son auteur est HFRien, mais bon, c'est toujours ça de pris !

si c'est pas développé par un HFRien, c'est du spam

Lé mal foutu ce site ... j'ai pas réussi à trouver un démo ... y'en a pas ?

d'un autre coté, faire du spam dans un topic de developpeur, c pas ici qu'il trouvera des clients
 

spa du spam je voulais juste vous proposer un autre forum.
 
La démo est le forum de support (http://www.fire-soft-board.com/fsb/index.php), et c'est clair que le site est mal foutu, j'en conviens.
 
Et non je cherche pas des clients, d'autant plus que c'est pas mon script

C'est du PhpBB modifié, stout, où est l'innovation ? Je doute que les défauts majeurs de phpBB aient été changés

C'est en rien un PHPBB oO
Ca a été fait from scratch, pas du tout la meme archi, tu te bases sur quoi pour dire ça ?

le bluf

salut tout le monde,

J'ai probleme avec la sauvegarde du contenu du forum avec phpmyadmin, en effet, lorsque j'insere un message, j'ajoute addslashes, met quand je fais l'export avec phpmyadmin, il me fait aussi un addslashes, ce qui fait au final \\'' au lieu de \'  !!!

Donc avez vous le meme probleme? avez vous une solution pour resoudre cela?

car quand je veut reimporter en local, ca me fait des erreur a cause de cela, ca fait du "sql injection" sans le vouloir ...

INSERT INTO `reponse1` VALUES (7448, 'là c\\''est complètement nickel !   merci encore et encore, je me sens complètement n00b pour le son ... \r\n\r\nBon we à toi !', '0', '06/10/2007 15:28:53', '2007-10-06 15:28:53', '', '', 10349, 1757);

T'aurais pas un addslashes en trop dans ton code (par exemple si les magic_quotes sont activées) ?

ben non, dans la base j'ai ca:
 
"là c\'est complètement nickel !   merci encore et encore, je me sens complètement n00b pour le son ...  
 
Bon we à toi !"
 
C'est phpmyadmin qui me rajoute un addslashes à l'export apparement.

Normalement, tu n'est pas censé avoir de "\" dans la base de données.
 
Si ta requete est :
 

 
L'enregistrement contenu dans la base de données sera :
 

 
 
Donc selon moi, tu as un addslashes en trop dans ton code

vai voir

 
Voila

en fait, comme j'ai commencé mon code en 2002/2003, ca devait pas exister magic_quote et on devait obligatoirement mettre adslashes.
Puis depuis, j'ai pas touché a cela (ya un stripslashes à l'affichage).
 
C'est un truc à s'emmeler les pinceaux.
 
Donc si je resume, si magic_quote est activé, faut que je desactive mes "adslashes", sinon je les actives?
Ya pas un moyen que je desactive magic_quote via htacess? Car sinon, faut que je me tappe des if() partout dans le forum, et je sens que c'est un nid pour les failles si j'en oublie un ...
 
Bon, je vais devoir revoir ça qui date de 2003 ...
 
sinon, avec htmlspecialchar() à l'insertion, ca resoud le probleme, non? (en reparsant les anciens messages bien sur).

Un antislash dans la requête n'est pas à sa place, je crois.

tu peux désactiver le magic_quotes_gpc avec le htaccess
de plus c'est pas addslashes qu'il faut utiliser pour échapper mais mysql_real_escape_string
htmlspecialchars c'est à l'affichage uniquement pas dans la base.

oué mais là c'est une question d'optimisation de faire htmlspecialchar à l'insertion plutot qu'a l'affichage, car on affiche beaucoup plus que l'on insere