`magic quote` ou comment protéger vos données.

[Nessper]

Bonjour ^^

En mettant n'importe quel login de joueur suivi de '# tu pouvais te connecter sans mot de passe

Comment t'as fait ? Dans mon script, je n'ai rien fait de particulier, j'viens d'essayer & ça marche pas :/
Possible de voir à quoi ça ressemblait histoire de pas faire la bourde ^^

@ tchaOo°

Un truc vraiment horrible.

Code PHP :

<?php 

mysql_query ("SELECT login, password WHERE login='".$_POST['login']."' AND password='".$_POST['password']."'"); 

[Plume]

Bonjour ^^

C'est bizarre que ça te fasse ça : $_POST['login'] = "toto'#";
Puisque normalement les données sont traitées directement. Tu devrais avoir quelque chose comme : $_POST['login'] = "toto\'";

Comment ça se fait que ça ne marche pas comme ça chez toi ?

@ tchaOo°

[Nessper]

C'est une histoire de magic quotes il me semble

[Roworll]

J'ai déjà été piégé par les magic_quotes en passant d'un hébergeur à l'autre.
Le premier les supportait et pas le 2e... Imaginez la catastrophe...

Du coup maintenant, pour chaque variable reçue, je fais ça:

Code PHP :

<?php 

if(!get_magic_quotes_gpc()){

    $_POST['name']=addslashes($_POST['name']);

    $_POST['pass']=addslashes($_POST['pass']);

} 

[Plume]

Bonjour ^^

C'est pas faux.. Disons que j'ai pas trop fait attention. Tant pis ^^ Qui vivra verra
Pas moyen d'activer les magic quotes à partir d'un script de configuration par exemple ?

@ tchaOo°

[Nessper]

Voilà, j'emploie la même technique que Roworll, ça évite les mauvaises surprises.
Dämen => Pour activer les magic quotes ça se passe dans le fichier php.ini

[Plume]

Bonjour ^^

Je sais oui, mais il n'y a pas moyen de changer ça avec une fonction ou autre ? Histoire d'avoir un certain pouvoir d'action malgré le fait que nos hébergeurs ne nous donnent pas la main sur les fichiers de configuration :-°

@ tchaOo°

[Nessper]

il me semble que pour les activer il faut que tu mettes dans ton .htaccess la ligne suivante :

Code :

php_value magic_quotes_gpc 1

ou 0 pour les désactiver


ps : tu pourrais déplacer les derniers posts de ce topic dans un topic au nom plus approprié je pense, non ? comme ça pourrait profiter à tout le monde

[Mysterarts]

Merci pour l'info en tout cas !
Je commençais justement à m'inquéter après avoir entendu ce que th0m disais sur ton jeu dans le topic à son sujet ^^

Mysterarts, protégez vous !

[naholyr]

addslashes n'est pas la meilleure méthode pour les requêtes SQL. Il vaut mieux utiliser la fonction d'échappement dédiée (pour mysql c'est mysql_real_escape_string()), et plutôt que de compter sur magic_quotes il vaut mieux considérer qu'il est désactivé, construire ses scripts SANS magic_quotes, et pour la compatibilité, DESLASHER les variables qui viennent de l'utilisateur, afin d'utiliser au cas par cas les fonctions de protections qui conviennent : mysql_real_escape_string(), escapeshellarg(), addslashes(), strip_tags(), etc...

Code PHP :

<?php 

if(get_magic_quotes_gpc()) {

    foreach ($_GET  as &$var) $var = stripslashes($var);

    foreach ($_POST as &$var) $var = stripslashes($var);

}