+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Condition (/showthread.php?tid=4729)
RE: Condition - Sephi-Chan - 12-04-2010
Lors de mon précédent stage d'été, j'ai développé pour un site (d'un grand groupe de radio). Ils avaient un forum qu'ils ont voulu refondre partiellement (sans perdre le contenu des 2 années passées), on a ajouté des balises, on en a enlevé d'autres, on a modifié les attributs des balises, etc.
Même si tu fournis des données à un service, tu vas filtrer (tout comme tu l'aurais fait si tu avais affiché les données sur le site).
On va donc filtrer a posteriori dans tous les cas. Quel est alors l'intérêt de le faire aussi a priori ? Mes questions ne sont pas des pièges ou autre : je cherche juste à comprendre l'intérêt d'une telle démarche.
Sephi-Chan
RE: Condition - php_addict - 12-04-2010
(12-04-2010, 10:15 AM)Sephi-Chan a écrit : Pour les chaînes, si on en est à utiliser les fonction mysql_*, alors on utilisera mysql_real_escape_string().
oui mais en PDO mysql_real_escape_string() n'existe pas il faut utiliser les requetes preparées, et je ne les utilises pas, donc à part htmlentities je ne vois pas comment virer les guillements...
RE: Condition - Sephi-Chan - 12-04-2010
Et pourquoi tu ne les utilise pas ?
Sephi-Chan
RE: Condition - php_addict - 12-04-2010
(12-04-2010, 08:48 PM)Sephi-Chan a écrit : Et pourquoi tu ne les utilise pas ?
Sephi-Chan
je n'ai pas réellement vu l'interet en fait...
RE: Condition - Sephi-Chan - 12-04-2010
Ben, maintenant tu l'as ! Ça permet de protéger tes requêtes efficacement.
Sephi-Chan
RE: Condition - php_addict - 12-04-2010
je pensais que les requêtes préparées etaient avantageuse quand on utilise plusieurs fois la même requête (vu qu'elle est déjà préparée...)
RE: Condition - Cartman34 - 13-04-2010
(12-04-2010, 07:09 PM)Sephi-Chan a écrit : Lors de mon précédent stage d'été, j'ai développé pour un site (d'un grand groupe de radio). Ils avaient un forum qu'ils ont voulu refondre partiellement (sans perdre le contenu des 2 années passées), on a ajouté des balises, on en a enlevé d'autres, on a modifié les attributs des balises, etc.C'est pour ça que nous, gros développeurs fainéants que nous sommes, avons inventé le BBCode afin de permettre des balises bien définies et autorisées pouvant passer à travers strip_tags() (ou autre). Leur exécution est totalement controlé.
Même si tu fournis des données à un service, tu vas filtrer (tout comme tu l'aurais fait si tu avais affiché les données sur le site).
On va donc filtrer a posteriori dans tous les cas. Quel est alors l'intérêt de le faire aussi a priori ? Mes questions ne sont pas des pièges ou autre : je cherche juste à comprendre l'intérêt d'une telle démarche.
Je ne suis pas totalement pour non plus car c'est ré-inventé la roue (ici le HTML) et c'est lourd mais c'est simple et efficace.
Cependant, si je suppose que je vais autoriser du HTML, je ne demande pas l'appel à strip_tags() ou alors je m'y prends autrement et j'autorise quelques balises HTML.
Cependant, je vois mal quelqu'un avoir une raison de mettre une balise HTML dans son pseudo ou autre...