Discussion :

[christoff]

En effet, même s'il s'agit d'une autre histoire il est bon d'aborder le sujet.
Ce script n'est absolument pas sécurisé.

Tu proposes quelque chose, stealth35 ?

[stealth35]

En effet, même s'il s'agit d'une autre histoire il est bon d'aborder le sujet.
Ce script n'est absolument pas sécurisé.

Tu proposes quelque chose, stealth35 ?

oui :

protéger les valeurs

utiliser sprintf et séparer le code du HTML, et arrêter d'utiliser mysql_* et faire du mysqli ou du PDO

[polux31]

Ah bah je venais pour vous dire que j'avais trouvé la solution
Merci beaucoup pour votre aide !
Bonne continuation

EDIT : oula je n'y connais strictement rien en ce dont tu me parles...

[christoff]

utiliser sprintf et séparer le code du HTML, et arrêter d'utiliser mysql_* et faire du mysqli ou du PDO

Bien, merci pour polux31.
On pourrait ajouter :
ne pas montrer aux utilisateurs les ID des tables
faire du MVC
...


En fait pour traduire (on y va mollo)
il est préférable de faire les traitements avant l'affichage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
<?php
// initialisation des variables
$errors = array();
$titre = '';

if (isset($_POST['valider'])){
  // on récupère les données
  $titre = $_POST['titre'];

  // on les VERIFIE
  if (empty($titre)){
    $errors[] = 'Mets un titre';
  } elseif (!validation_function($titre, 'title')){
    $errors[] = 'titre invalide';
  }

  // si il n'y a pas d'erreur
  if (empty($errors)){
    // insertion en bdd
    // avec mysql_real_escape_string()
    // si tu utilises mysql_*

    // on redirige si besoin
  }
}
?>
<html>
<form>
<?php echo function_affichage_erreurs($errors); ?>
<input value="<?php echo htmlentities($titre); ?>" />
<input type="submit" name="valider" value="ok" />
</form>
</html>

Bien sûr ce n'est qu'un exemple, à ne pas suivre à la lettre.