Discussion :

[yuyu599]

Bonjour le forum,
Je rencontre un petit soucis.
Quand j'insère ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo $nom2 ?>

dans mon fichier index.php cela fonctionne bien en m'affichant le nom correspondant issu de ma base mysql.
Mais dans ma base de donnée quand j'insère la même chose

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo $nom2 ?>

il n'interprete pas la commande. Dans mon navigateur je n'ai rien qui s'affiche et dans le code source je retrouve :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php echo $nom2 ?>

Pourquoi cela n'est pas interpreté quand ma commande se trouve dans ma base de donnée ? :-(

Merci à vous !

[camyo]

c'est moi ou ???
j'ai pas tout compris

[Bovino]

T'as de la chance camyo... Moi je crois avoir compris et ça me fait peur !

Dans ta base, c'est bien la chaine "<?php echo $nom2 ?>" que tu stockes ???

[yuyu599]

Désolé je n'ai pas été clair
Mais oui je stock bien cette chaine dans ma base, ensuite mon fichier index.php va venir afficher le contenu de ma base ( donc de cette chaine ) puis je voudrais qu'il traite ce code comme ci il était inséré directement dans le code source

[camyo]

Oui ... Mais non

tu ne peux afficher <?php echo $nom2 ?> depuis ta base , car pour afficher ça, tu dois déjà faire <?php echo $ta_variable ?> donc tu doubles les ouvertures de balise, les echo , tu fermes ta balise au milieu d'une instruction ..

donc, non, on n'affiche pas <?php echo <?php echo $nom2 ?> ; ?>.


Bovino, t'as raison

[yuyu599]

En faite je ne veux pas afficher cette chaine dans mon navigateur mais qu'elle soit interpretée.
Du coup comment faire pour que ma chaine issue de ma base de donnée soit interpretée en php ?

[Bovino]

Mais pourquoi diable veux-tu stocker en BDD des instructions PHP ?

[yuyu599]

:-)
En faite j'ai un fichier index.php ; j'insère un texte de 200 mots dans ma base de donnée, il y a une variable le nom d'une personne.
Je pensais afficher le texte contenu dans ma base de donnée dans le fichier index.php et insérer ma variable, mais apparemment c'est pas si simple^^

[k'amm]

Dans ce cas, mieux vaut utiliser une valeur que tu auras pré-déterminé (##PERSON_NAME## par exemple) et la remplacer à l'affichage (avec un str_replace par exemple) ?

[yuyu599]

Ca doit paraitre abérrant pour certaine personne, mais quand j'insère cette commande dans un fichier texte et qu'ouvre ce fichier depuis index.php, ma commande est bien interpretée, je pensais que c'était la meme chose si ma commande était dans ma base sql

[laurentSc]

A mon avis, eval fera l'affaire.

[rawsrc]

Salut,

surtout pas d'eval, que tous les dieux des développeurs t'en préservent.

Tu dois juste revoir ton approche dans la gestion de cette problématique.

[laurentSc]

Et qu'est-ce qu'il a fait de mal "eval" ?

[Cr3a_Hal0]

Eval, c'est la possibilité de donner à quiconque la possibilité d'interagir avec ton script mais pas forcément dans les endroits où tu souhaitent les faire interagir.

D'un point de vue conception et sécurité, je trouve ça assez limite de l'employer, surtout dans ton cas qui est relativement simple.

[Celira]

eval c'est très pratique mais, comme beaucoup de choses très pratiques en PHP, il faut faire gaffe à ce qu'on en fait.

Si jamais le texte stocké en bdd et envoyé à eval vient d'un formulaire pas trop sécurisé, c'est une magnifique faille format Grand Canyon dans laquelle on peut engouffrer des instructions pas trop sympathiques...

Si l'idée c'est juste d'avoir un texte du genre

Bienvenue Machin et merci de vous être inscrit sur le site bidule.fr

où Machin est à remplacer par le nom de l'utilisateur, la solution de k'amm m'a l'air très bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$nom = 'Machin';
$str_texte = 'Bienvenue ##PERSON_NAME## et merci de vous être inscrit sur le site bidule.fr';
echo str_replace('##PERSON_NAME##', $str_texte, $nom);

[Bovino]

Il faut partir du principe de base "Never Trust User Input" et dans User Input englober tout ce qui n'est pas écrit par soi-même : les données reçues d'un formulaire bien sûr (GET / POST) mais aussi les données issues de COOKIE, SESSION et BDD. Tout simplement parce que ces données proviennent d'éléments potentiellement vulnérables et que si ils ont été piratés, considérer ces données comme non sures est la première parade pour éviter de propager l'attaque.
Avec ce principe, faire un eval() sur une donnée non sure est une énorme erreur.

[laurentSc]

Et si on protège la saisie des données (à interpréter) par un mot de passe, ça serait pas jouable ? Et la solution de k'amm ne me semble marcher que si on traite une instruction prévue...

[Celira]

la solution de k'amm ne me semble marcher que si on traite une instruction prévue...

C'est un peu le but : empêcher les instructions non prévues de fonctionner mrgreen:

Et si on protège la saisie des données (à interpréter) par un mot de passe, ça serait pas jouable ?

Tout tourne autour d'un point : la confiance en l'utilisateur, notamment dans le fait qu'il ne va pas taper n'importe quoi... Si c'est le cas, c'est effectivement une bonne solution.
Sauf que comme l'a dit Bovino, on ne fait jamais confiance à l'utilisateur

Donc au final, soit tu utilises eval en ayant confiance en tes utilisateurs pour ne pas écrire quelque chose du genre system("sudo format -rf /"); ; soit tu verrouilles en donnant une liste de marqueurs du genre ##utilisateur_nom##, ##utilisateur_password##...