Reprise du message précédent :
lol en effet,j'habite a 30 min de geneve ... mais du coté des helvetes . Ce que tu demandes est assez "basique" mais il faut que ce soit bien fait ...  
3 cas de figure :  
- Tu le fais toi meme , ce qui serait un tres bon entrainement mais qui te demandera encore du temps et du café
- Tu te trouves un pote/un etudiant a transformer en esclave , ce qui pourra te couter moins cher mais qui est pas tres simpas pour les professionnels et surment pas tres legal
- Te te tournes effectivement vers une entreprise ou un particulier pouvant gager de son serieux.
 
Perso je ne donne jamais mes codes sources avant d'avoir été payé, la seule fois ou je l'ai fait je me suis retrouvé avec un projet de 100heures impayé et un "patron" envolé avec le projet.. Maintenant je propose toujours : Un plan detaillé de comment je vois la chose, avant de commancer a taffer (ça peut faire gagner du temps aux 2 parties), un acompte (en cas de gros projets) , le travail, une mise en service du projet sur mon portail perso (customisé pour etre identique a celui du client niveau config) et un certain temps de test de la part du client sur le projet (Petit projet : 1 semaine, ...) , le payement du tout , la rente des codes sources pour au client et l'installation sur son serveur.
 
Avec cette technique mes clients ont toujours été satisfaits et moi aussi ... Donc je continuerai a l'utiliser

Ouai je comprend bien que tu ne donne pas le code comme ca, c'est normale, mais comment peut on être certain qu'il est sûr d'accorder à tel ou tel personne aveuglément sa confiance?
 
Concernant les prix, une fouchette? (Non non je ne te propose pas une fouchette, pardon je sors -> )

Te donner une fourchette comme ca, sans savoir comment tu vas t'en servire .... heu exactement de ce que tu as besoin serait aussi realiste que te faire un projet sur les bases de ce que tu as annoncer ici ... Faut faire qqch de clair (perso je demande toujours une presentation powerpoint/excel/pdf extremement precise de ce que la personne désire , comme ca personne n'a de surprises.
 
Et pour savoir si la personne est digne de confiance, un plan de la situation va tres vite fixer n'importe quelle personne avec des connaissances en info ... Le genre de mec qui demarre direct avec un "Oue on fou le mdp dans la bdd, on met le login dans le cookie avec le statut (admin/user/..) de la personne ..." Tu peux directement lui faire voir la sortie...

 
Effectivement ca donne déjà une idée des capacité de la personne.
 
En revanche je ne vois pas bien quoi donner comme présentaion de ce que je veux...
Hummm... je vais méditer la dessus.

Oki, tiens moi au courrant

Je peux éventuellement être intéressé également (n'hésite pas à me contacter en MP)

Je prend note de vos propositions. Merci!

De toutes facon, je te conseille de proposer ton projet a plusieurs personnes pour pouvoir comparer le prix et le type de solution proposée

Effectivement c'est ce que j'ai fait mais quand je vois le montant qu'on m'estime pour la réalisation de tout le projet je me dis que ca va se faire petit à petit...

 
et on fait comment pour éviter ca?

Comme je l'ai indiqué précédemment c'est faux donc rien à faire pour éviter ça

ratibus: en quoi c'est faux ?
A ton avis, pourquoi il est conseille de faire des escapes sur les chaines entrees par les visiteurs ?
Ce n'est pas parce que tu as confiance dans une code qu'il est sans faille et qu'une erreur probable et realisable est impossible selon toi
 
Djebel1: deja un addslashes pour parer les " et autre ' ou \ ...
toute une panoplie de fonctions

precision pour ratibus : mes infos concernant les erreurs en ligne 15 et autre ... ct pour le 1er code . pas le tiens. on parle ici du code de dwosi

 
Regarde ce que ça donne (c'est un echo c'est pas un eval comme je l'ai dit avant)

ratibus, t'as mis des '...'
 
maintenant fait comme la majorite des gens, cest a dire une string entre "..."

de plus, g dis c un exemple de ce quon peut faire

T'insiste en plus
 

 
Essaie et appelle ta page comme ça test.php?var=echo 'toto';
 
Ben tu verras pas toto mais bien echo 'toto';
 
T'as l'esprit tordu
T'as pas compris comme marchait ceci : http://www.php.net/manual/en/langu [...] ng.parsing
 
PS : t'as testé sur un exemple avant de dire que ça marche comme un eval ?

euh moi j'ai essayé ce que disait fnemo, et ca fait effectivement affiché la valeur de la variable.
D'où ma question, comment on fait pour éviter ca? parce que avec des addslashes ca le fait toujours
 
j'ai testé avec ca

 
et ca affiche toujours la valeur de $onsenfoutcpourlademo;
 
tu dis tout une panoplie de fonctions pour contrer ca, mais laquelle en particulier stp?
 
 
edit : ok c'est bon j'ai compris, et effectivement pas de risque la dessus. J'ai testé en passant la variable en post ou get, et bien sur ca le fait pas, puisque tu  n'as pas de toi-même placé des quotes autour de ta variable. Et ca ne le fait pas meme si tu ne rajoute pas addslashes.

Parcontre ca reste problematique si apres tu fais des includes (ou meme des redirection avec header) a moins que le 100% de tes directories soient blindez a fond...
Et pareil pour la base mysql

 
pour la base mysql je suppose qu'un addslashes sur ce que tu rentres suffit non?
 
par contre tu pourrais développer le problème relatif aux include et header stp ?(genre un pti exemple )
 
   
 

Bon deja, il faut remplacer tout les symboles html (& ' " .... ) par leur equivalent "propre" (&amp ,...).  
Perso avant de mettre qqch dans la base de donnée je le fait passer par un htmlentities + mysql_real_escape_string ,  
 
Pour les headers et include,
 
Il te suffi de mettre un script pas a la racine de ton script et de mettre un truc genre (c'est grossier mais ca donne bien l'idée) header('Location: '.$_GET['url']) , tu va pouvoir sauter en arriere dans l'arborescence (../) sans problemes et voir les pages que tu veux, pareil pour les include...ce qui est rarement tres securisant ...

Pour le remplacement par les entités HTML dans la base, il faut surtout pas faire ça   Si tu veux pas utiliser tes données pour un usage HTML tu fais comment ensuite, l'opération inverse ? Dans une base on stocke les données saisies (échappées bien sur pour éviter les injections SQL). Et c'est ensuite suivant l'usage que tu fais des transformations (htmlentities pour du HTML par exemple).
 
Pour la sécurisation des header('Location: '), j'ai déjà dit que ça servait à rien (encore une fois l'attaquant peut y aller comme un grand avec son navigateur).
 
Par contre je suis tout à fait d'accord (ça fait au moins 2 points sur 4 ) avec la sécurisation des includes  
 
 
Pour résumer :
mysql_real_escape_string    
sécurisation include
 
Le reste pas d'accord du tout

je suis un noob, mais effectivement je pense pas filtrer les données avec htmlentities AVANT de rentrer dans la base, on sait jamais à quoi elle peut être utilisée (autre appli que web on sait jamais).
 
En tout cas merci, je vais pouvoir un tout petit peu mieux sécuriser mes scripts
 
edit:question subscidiaire : utiliser un strip_tags après un htmlentities ca sert à rien non? htmlentities suffit?

Effectivement pour le header je me suis laissé un peu prendre par la parano , on peut y arriver tout aussi bien avec le navigateur.
 
Parcontre pour le htmlentities, je persiste a croire que j'ai pas tout faux. Je reste de mon idée que d'autoriser des % , - ,.. dans la base de donnée n'est jamais bon ménage .. Apres si tout les scripts sont securisé a bloc, c'est comme le register_global, on peut le laisser a ON ... Mais perso je prefere securiser a fur et a mesure ...
Enfin bon c'est une question de methode je suppose

Le strip_tags si tu le fais, faut le faire avant le htmlentities (si tu le fais après effectivement ça sert à rien puisque les caractères < et > auront été transformés)

 
Bon et bien j'y suis en ce moment, et mon IP ne change pas plus vite qu'ailleur de croix...
Peutêtre que c'étais vrai avant
 
@+

Ptite question en rapport avec la sécurité:
Pour tous mes formulaires je fais ça:
$toto = trim(addslashes(htmlspecialchars($_POST['toto'])));
 
Ca sert à rien ou c'est plutot bien sécurisé ?
Par contre pour certains formulaire j'ai enlevé le htmlspecialchars c'est grave docteur (c'est dans le cas ou du texte doit etre en entré avec une mise en forme).  
Si c'est grave => bbcode sinon bah j'attendrai d'avoir du temps .
J'ai vu aussi qu'il existait htmlentities, d'apres la doc ça remplace tout contrairement a htmlspecialchars. Ca vaut vraiment le coup ?

Salut
 
Tu fais ce traitement pour l'insertion en base ?
 
Si oui j'enleverais le htmlspecialchars() que je mettrais uniquement lors de l'utilisation des données pour un affichage HTML.

Oui, juste avant l'insertion ou une requete sql je fais toujours ça. Je pense que c'est assez efficace, ça evite pas mal de probleme du au injections sql je crois .

Comme je l'ai deja dit avant, c'est une question de methode ... Moi je fait toujours ca avant l'insertion par peur qu'on arrive a detourner mes requetes en inserant des #ou % un peu partout .. D'autres ne le feront pas et se consacreront a comment etre sur que meme en inserant ces caracteres rien ne se passe ... je pense que les 2 methodes sont valables .. c'est pour ca que j'essaie d'utiliser une compilation des 2

htmlspecialchars est utile pour contrer le cross site scripting (concerne pas les bdd donc). Quels dangers représente <, >, &, #, %, (...) pour une base de données si la chaîne est échappée correctement ???
A moins d'un buffer overflow... Auquel cas, limiter la taille de la chaîne soumise est surement plus utile.
 
Note : je ferais mieux de m'écraser avec la nouvelle version de mon site sûrement trouée comme un gruyère.

C'est quoi deja l'adresse de ton site ??
 
Sinon tu sais ce que l'on dit

(Je me souvients jamais precisement de la formulation, j'espere n'avoir pas commis de fautes ...)

L'adresse de mon p'tit site est dans ma signature (je suis le seul contributeur, ça élimine déjà pas mal de problèmes de sécu).
 
L'expression je crois que c'est : plus il y a de trous, moins il y a de gruyère, donc plus il y a de gruyère... moins il y a de gruyère.