07-12-2007, 03:01 PM
Euh si j'ai bien compris il dit qu'il faut savoir et controler les variables provenant de l'exterieur (donc les superglobal(POST, GET,COOKIE,SERVER...), et les fichiers lus depuis un domaine externe)
Pour le typage il entand par là: est ce un entier positif? est ce une chaine alphanumerique?
Et pour les listes blanches j'ai jamais entendue parler de çà mais je pense qu'il s'agit des valeur vide retourné quand un utilisateur renvoie un formulaire trop tot sans le remplir totalement.
En fait mysql_real_escape_string($var01) permet de proteger contre l'injection et htmlentities peut proteger contre l'injection html, mais aucun ne te garantie que les données sont valides (dans le sens de l'application)
Il doit donc y avoir un controle avant qui le verifie
Un exemple tout bete qui était reel sur ma propre beta il y a 3 ans:
j'avai une table qui gerais les magasins chaque magasins posserder un compte. Tout comme les perso
Quand un perso acheter un objet une variable "prix" transmise par formulaire mettais à jour les compte. Et çà sans verification.
Jusqu'au jour ou j'ai eu des joueurs qui ouvraient des magasins pour y acheter eux meme un objet à -1000000 mesetas. De cette façon ils devenaient riche à millions
Pourtant il m'a suffit de verifier cette fameuse variable prix qui transiter du client vers le serveur et que je conciderais comme vrai...
Pour le typage il entand par là: est ce un entier positif? est ce une chaine alphanumerique?
Et pour les listes blanches j'ai jamais entendue parler de çà mais je pense qu'il s'agit des valeur vide retourné quand un utilisateur renvoie un formulaire trop tot sans le remplir totalement.
En fait mysql_real_escape_string($var01) permet de proteger contre l'injection et htmlentities peut proteger contre l'injection html, mais aucun ne te garantie que les données sont valides (dans le sens de l'application)
Il doit donc y avoir un controle avant qui le verifie
Un exemple tout bete qui était reel sur ma propre beta il y a 3 ans:
j'avai une table qui gerais les magasins chaque magasins posserder un compte. Tout comme les perso
Quand un perso acheter un objet une variable "prix" transmise par formulaire mettais à jour les compte. Et çà sans verification.
Jusqu'au jour ou j'ai eu des joueurs qui ouvraient des magasins pour y acheter eux meme un objet à -1000000 mesetas. De cette façon ils devenaient riche à millions
Pourtant il m'a suffit de verifier cette fameuse variable prix qui transiter du client vers le serveur et que je conciderais comme vrai...