10-08-2013, 01:12 PM
Attention, optimisation n'est pas sécurité. Un site peut parfaitement marcher, sans être optimisé, mais il ne devrait pas être mis en ligne s'il n'est pas sécurisé. Par exemple:
Si j'envoie à quelqu'un un lien avec ...?injection_grave=<script>alert(document.cookie);</script> alors cette personne verra apparaitre une pop-up qui affichera ses cookies. De là à modifier un peu le lien pour que ce cookie me soit envoyé, il n'y a qu'un pas. Et ayant le cookie de session, je peux me connecter à son compte sur ce site.Code PHP :
<?php
echo $_GET['injection_grave'];
Donc, optimisation, on peut s'en ficher, mais sécurité, on ne devrait pas; la faille pouvant toucher juste le client (comme ici), ou juste le serveur (comme ton $$_POST) ou les deux.
Ne vérifie pas les données au moment de les utiliser: vérifies-les une bonne fois pour toute dès le début. Cela t'évitera des oublis, et cela limitera les risques.
Il me semble que magic quotes a disparu des nouvelles versions PHP.
Code PHP :
<?php
(int)$_POST['attack']['lines'][$i]