(04-01-2015, 08:56 PM)Xenos a écrit : Ah ben ok, avec cette information, je vais vite foncer sur le forum, m'inscrire, et mettre comme avatar l'image



Bannissement à tous ceux qui afficheront cette image. Si je l'utilise comme avatar, peu de gens m'attaqueront dans le jeu...
C'est une belle faille CSRF.

Pour le abs, d'accord, mais je pense qu'il faudra quand même l'expliciter (commentaire?) dans le code, sinon, cela sera délicat à relire.

Code :

$quantite = abs((int) filter_input(INPUT_POST, 'quantite', FILTER_VALIDATE_INT));
// Negative quantity is not allowed here: abs will switch it to positive,
// so one testing/hacking the interface with negative values will be forced to sell the items

<?php 

filter_var($var, FILTER_VALIDATE_INT, array('options' => array('min_range' => 1, 'max_range' => $item->quantity)); 

•  pas de contrainte CHECK, parce que c'est là, au minimum, qu'il aurait fallu la mettre en place (sinon il faut l'écrire soi-même via un trigger en before insert/update qui lève une erreur)
  

•  si tu mets ta colonne en UNSIGNED, a priori, une valeur négative finit en 0 avec un simple warning (out of range)
  

(05-01-2015, 12:25 AM)julp a écrit : En fait, avec MySQL ce n'est pas gagné :

•  pas de contrainte CHECK, parce que c'est là, au minimum, qu'il aurait fallu la mettre en place (sinon il faut l'écrire soi-même via un trigger en before insert/update qui lève une erreur)
  

•  si tu mets ta colonne en UNSIGNED, a priori, une valeur négative finit en 0 avec un simple warning (out of range)
  

Au moins, avec PostgreSQL, unsigned n'existe pas et check est implémenté.

Je ne suis vraiment pas convaincu par abs non plus : ça signifie que tu acceptes les valeurs négatives en entrée et que tu te retrouves en sortie avec une valeur positive. Niveau documentation, je pense qu'on a vu mieux. filter_var me paraît bien plus adapté aussi.