[Javascript] Envoyer en GET (via ajax) un tableau de valeurs à PHP

[Ter Rowan]

bonjour

j'envoie des éléments de formulaire en ajax (via jquery) à mon serveur (php)

data : 	{ rankingId : id, filter : $("#"+id+" input").serialize() }

et je veux récupérer mon tableau via unserialize en php

jusqu'ici pas de problème... sauf que

le manuel PHP m'indique que je ne dois pas utiliser unserialize dans le cas de données utilisateurs (non fiables)

du coup, avant de réinventer la roue, qu'est ce que vous me conseillez ?

Je pensais pour ma part parser moi même la chaine filter, qui n'a guère de complexité (juste un tableau associatif finalement) mais peut être existe il un standard ?

[niahoo]

Pas réveillé ce matin hein

[Ter Rowan]

Pas réveillé ce matin hein

clair

[Ter Rowan]

sinon, pas bien long côté php j'ai fait ça, mais ça m'intéresse toujours de savoir comment on fait "avec classe" ce genre de chose

$filter contient la chaine _GET["filter"]

$filter = explode("&",$filter);

$newFilter = array();

foreach( $filter as $f){

	$s = explode("=", $f);

	if (strcmp($s[1],"") ) $newFilter[$s[0] ] = $s[1];

}

[Xenos]

Si ta chaine $filter est vide, ou si elle ne contient que "&":

Notice: Undefined offset: 1 in D:\EasyPHP-12.1\www\t.php on line 7

Je conseillerai de la checker avant de l'utiliser, via une regex par exemple.

[Ter Rowan]

Si ta chaine $filter est vide, ou si elle ne contient que "&":

Notice: Undefined offset: 1 in D:\EasyPHP-12.1\www\t.php on line 7

Je conseillerai de la checker avant de l'utiliser, via une regex par exemple.

oui je vais rajouter

a la base il n y en a pas besoin car l'html nécessaire (ie les input "filter") est généré par le module
mais effectivement si il y a "gruge" il faut que je controle

[Xenos]

Eyuup, toujours prendre la gruge en compte, sinon, cela revient à considérer que la vue (le HTML) sécurise le contrôleur, et là, on va dans le mur...

[KyleK]

Utiliser unserialize en PHP avec une donnée utilisateur n'est pas "interdit", il faut juste avoir conscience qu'en faisait unserialize($_GET['machin']) alors $_GET['machin'] peut contenir absolument n'importe quoi et quand je dis "absolument n'importe quoi", ça veut dire absolument n'importe quoi. L'utilisateur peut y mettre "£$£¤^¨ùsdklj8èdqsd#", il peut y mettre des nombres, des arrays à 40 niveaux, des objets de n'importe quel type (type SOAP, type Iterator), il peut y mettre du binaire, des caractères nulls, il peut y mettre des éléphants, du café, donc attention aux court-circuits !

Il faut donc vérifier les types de tout ce que tu veux :

Code :

if(strpos($_GET['machin'], "O:") === false)
{
  $data = unserialize($_GET['machin']);
  if(is_array($data))
  {
    // $data est bien un array
    if(isset($data['truc']))
    {
        if(is_string($data['truc']))
        {
             echo "Ce truc doit être un string !";
        }
        else
        {
             echo "Pas de string ? Ben tu sors.";
        }
    }
    else
    {
       echo "Vous avez oublié truc";
    }
  }
  else
  {
     echo "Le carton dans la poubelle jaune, le reste dans la poubelle verte, et dans "machin", uniquement des array !";
  }
}
else
{
   echo "Ah non pas d'objet.";
}

[Xenos]

Hmm... D'apres la doc PHP pour unserialize:

La chaîne linéarisée.

Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP appellera automatiquement la méthode __wakeup si elle existe.

Je trouve donc cela très "risqué" d'utiliser serialize et unserialize AVANT de vérifier la donnée d'entrée. En effet, l'utilisateur peut alors instancier n'importe quelle classe (donc, déjà, c'est assez chaud, surtout si l'utilisateur instancie une classe "Singleton" par exemple, ou instancie une classe qui est une collection d'objets qui vont saturer la mémoire).

Exemple:

Code PHP :

<?php

    class test

    {

        public function __wakeup()

        {

            echo('I hacked you!');

        }

    }

    $v = $_GET['obj'];

    $u = unserialize($v);

// vérifier $u

?>

[Ter Rowan]

bien pour ça que, finalement, je n'unserialize pas et ai créé mon propre contrôle