`magic quote` ou comment protéger vos données.

[Nessper]

ouais je suis d'accord avec toi naholyr. Bon je vous poste le code de mon formulaire de connexion afin que vous voyez si c'est assez bien sécurisé ou pas.

Code PHP :

<?php 

if(get_magic_quotes_gpc()) 

{

         $log = stripslashes($_POST['login']);

         $pass = stripslashes($_POST['pass']);

}

else

{    

         $log = $_POST['login'];

         $pass = $_POST['pass'];

}

       

$log =  mysql_real_escape_string($log);

$pass = mysql_real_escape_string($pass);



$requete = "SELECT login, password, id, droitsAdmin FROM users WHERE login='".$log."' AND password='".$pass."'";

$exec_req = mysql_query($requete) or die ('erreur de connexion');

$row = mysql_fetch_row ($exec_req);

        

if ($row[0] == null )

{

    $this->mauvaislog= "Votre login ou votre mot de passe sont incorrects.";

}

else 

{

        //connexion

} 

[tsuki]

C'est vrai qu'avec PHP 5.2.1, l'accent a été mis sur la sécurité. Adieu le short tag, les références, magicquote, ...

Cela demande d'être plus rigoureux dans le code.

- Tu utilises la bibliothèque PEAR ?
- Ta variable register_global est à on ou off ?

[Nessper]

register_global à ON
Par contre le n'utilise pas la bibliothèque PEAR sur Okracoke car j'ai commencé sans.
Par contre au taf j'utilise Quickform et franchement c'est de la boulette autant pour la facilité de mise en place que pour la sécurité. Si ça intéresse des gens je pourrais peut-être vous faire un petit tuto car l'approche de celui-ci n'est pas très aisée

[Harparine]

Moi, ça m'intéresse, ce p'tit tuto sur QuickForm

EDIT : je viens de lire un tuto sur le sujet sur Developpez.com et je me pose une question : comment mettre en forme le formulaire créé avec CSS ?

[Nessper]

Ben en fait tu as dû voir que au début tu déclare une variable que tu vas utiliser pour tout tes éléments. Par exemple :

Code PHP :

<?php 

$form->addElement('text', 'login', Entrer votre login'); 

[Caribou]

Ben ton exemple avec '# ou l'autre, ça marche pas dans la majorité des cas meme sans protection

j'ai jamais utiliser select pour chercher login + password, mais uniquement un select par rapport au login, puis apres une comparaison password de l'utilisateur et password de la bdd du login. Je me souviens pas avoir déjà vu des select login+password d'ailleurs c'est bien la première fois pour ma part.
J'aime bien disocié les deux, parce que tu peux faire la difference entre un login non-existant ou un password erroné.
Puis finalement ça evite ce genre de faille lol, meme si les slashes sont là pour ça.

[Plume]

Bonsoir

Une question toute conne sur ce qui suis.

Code PHP :

<?php 

foreach ($_POST as &$var) $var = stripslashes($var); 

[Trent]

1) tu mets toto'# dans login et ce que tu veux dans password. Du coup ça donne :

Code PHP :

<?php 

mysql_query ("SELECT login, password WHERE login='toto'#' AND password='".$_POST['password']."'");