07-12-2007, 03:11 PM
Citation :Un exemple tout bete qui était reel sur ma propre beta il y a 3 ans:
j'avai une table qui gerais les magasins chaque magasins posserder un compte. Tout comme les perso
Quand un perso acheter un objet une variable "prix" transmise par formulaire mettais à jour les compte. Et çà sans verification.
Jusqu'au jour ou j'ai eu des joueurs qui ouvraient des magasins pour y acheter eux meme un objet à -1000000 mesetas. De cette façon ils devenaient riche à millions
Pourtant il m'a suffit de verifier cette fameuse variable prix qui transiter du client vers le serveur et que je conciderais comme vrai...
Hé hé, c'est exactement le genre de chose auquel je ne pense pas xD
C'est surtout au niveau de l'injection sql que je me posais des questions car depuis j'utilise seulement mysql_real_escape_string($var01) et le gars de php France m'a fait flipper avec ses histoires de liste blanche... :ninga: