Protection des variables & expression régulière

[Plume]

Coucou !

Désolé de ne pas vous l'avoir dit plutôt mais en PHP, je suis un assisté :oops:

J'ai une question stupide, qui touche au détail & dont je suis à peu près sûr de la réponse.

J'ai une fonction comme suit :

Code PHP :

<?php

    /**

     * This function gives security to the variables

     * @param array $aVariablesTabs

     * @return array Return the array of reassured variables

     */

    private function parseVariables( array $aVariablesTabs )

    {

        if( get_magic_quotes_gpc() )

        {

            foreach( $aVariablesTabs as &$variable )

                $variable = stripslashes( $variable );

        }



        foreach( $aVariablesTabs as &$variable )

            $variable = mysql_real_escape_string( $variable );



        return $aVariablesTabs;

    }

?>

[naholyr]

L'erreur c'est que tu fais deux choses totalement différentes :
1. Vérifier la validité syntaxique de l'email (il ne faut donc RIEN échapper ici, évidemment)
2. Vérifier que l'adresse e-mail est déjà utilisée (il faut donc ici échapper la variable avec mysql_real_escape_string()).

Dans chacune de ces vérifications (qui devraient a priori faire l'objet d'une méthode chacune), tu ne dois partir de la variable "pure" telle qu'envoyée par le visiteur, et ensuite la travailler (dans le cas 1, aucune modif, dans le cas 2 il faut l'échapper avant de lancer la requête).

[Plume]

Non, mais c'était juste pour la question xD

En réalité, je fais comme ça :

Code PHP :

<?php

    /**

     * Verify the validity of the email submited

     * @param string $mailSubmited

     * @return bool Return FALSE if an error is occured; TRUE if not.

     */

    function checkMail( string $mailSubmited )

    {

        if( ereg('^[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+' .

                '@' .

                '[-!#$%&\'*+\\/0-9=?A-Z^_`a-z{|}~]+\.' .

                '[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+$' ,

                $mailSubmited ) )

        {

            $aErrors[] = REGISTRATION_MAIL_ERROR;

            return FALSE;

        }



        $sqlInstance = Factory::Instanciate( 'MySQLDatabase' , 'include/configDB.php' );

        $mailSubmited = $this -> parseVariables( $mailSubmited );



        $sQuery = 'SELECT id_players FROM ' . TABLE_PLAYERS . ' WHERE email = \'' . $mailSubmited . '\'';

        $rQuery = $sqlInstance -> executeRequest( $sQuery );



        $sqlResultInstance = Factory::Instanciate( 'MySQLResult' , $rQuery );

        if( $sqlResultInstance -> numberRows() === 1 )

        {

            $aErrors[] = REGISTRATION_MAIL_ERROR2;

            return FALSE;

        }

        else

            return TRUE;

    }

?>

[naholyr]

Ça servirait à ce que le "parseVariables" appelé au milieu ne passe pas inaperçu par exemple
Et même au niveau de l'organisation du code et de la sémantique : on a une fonction "isValidMail($email)" qui vérifie classiquement la syntaxe de l'adresse e-mail, et "isAlreadyUsedMail($email)" qui vérifie si l'adresse e-mail est déjà utilisée.
Dans les deux cas on prend une email en paramètre, une chaine, pas une variable passée par $_GET ou $_POST, on n'a pas à s'en préoccuper ici, et donc dans la seconde en toute logique on ne fera pas un addslashes() dessus mais plutôt un mysql_real_escape_string() (ou un escape abstrait) mais pas .

C'est plutôt l'utilité de la fonction parseVariables() (et surtout son nom) que je trouve ici un peu détournée, d'ailleurs dans le deuxième code que tu donnes tu l'utilises sur une chaine de caractère ($mailSubmited) alors qu'elle n'est censée prendre qu'un array

P.S: Submitted en anglais c'est avec deux 't'

[Plume]

Ça servirait à ce que le "parseVariables" appelé au milieu ne passe pas inaperçu par exemple

J'vois mal le problème avec le fait qu'il passe inaperçu ..

Et même au niveau de l'organisation du code et de la sémantique : on a une fonction "isValidMail($email)" qui vérifie classiquement la syntaxe de l'adresse e-mail, et "isAlreadyUsedMail($email)" qui vérifie si l'adresse e-mail est déjà utilisée.

Oui, ça j'avais bien compris. C'est justement sur ça que portait ma question. Je cernais déjà cette vision de la chose, mais je m'interrogeais sur la nécessité pour le coup

Dans les deux cas on prend une email en paramètre, une chaine, pas une variable passée par $_GET ou $_POST, on n'a pas à s'en préoccuper ici, et donc dans la seconde en toute logique on ne fera pas un addslashes() dessus mais plutôt un mysql_real_escape_string() (ou un escape abstrait) mais pas .

Il faut quand même bien traité les variables en fonction du fait que les magic quotes sont actives ou pas, non ? Que ce soit avant l'appel de la méthode, c'est pareil.

C'est plutôt l'utilité de la fonction parseVariables() (et surtout son nom) que je trouve ici un peu détournée, d'ailleurs dans le deuxième code que tu donnes tu l'utilises sur une chaine de caractère ($mailSubmited) alors qu'elle n'est censée prendre qu'un array

Pour l'erreur de type, je suis owned ^^ J'avoue.
Mais finalement, mon `perfectionnisme' me reprend. J'vais suivre la logique

P.S: Submitted en anglais c'est avec deux 't'

Ouais bon ça va .. Ca arrive les erreurs iffle: