Discussion :

[ChPr]

Bonjour à toutes et à tous,

Dans un fichier .php, j'ai le test suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (isset($_GET['ValidID'])) // Test des résultats du formulaire d'identification
{
}
...

Cela ne pose pas de problème, que 'ValidID' soit défini ou non.

Maintenant, si je remplace ce test par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (_t($_GET['ValidID'], 'Valider')) // Test des résultats du formulaire d'identification  // Test de non injection SQL
{
}
...

où la fonction _t est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
function _t($Str, $Test)
/* Pour que cette fonction retourne TRUE, il faut que l'entrée $Test soit assignée et que :
 - si $Test n'est pas une chaîne vide, alors il faut que $Str == $Test,
 - si $Test est une chaîne vide, alors $Str ne doit pas comporter les caractères suivants :
   - point-virgule, espace, 
*/ 
{
  if (isset($Str))
  {
    if (($Test != '' && strcmp($Str, $Test) == 0)
    || ($Test == '' && strpos($Str, ';') === FALSE && strpos($Str, ' ') === FALSE && strpos($Str, '#') === FALSE))
    {
      return TRUE;
    }
    else
      return FALSE;
  }
  else
  {
    return FALSE;
  }
}

Cela ne fonctionne plus et j'ai l'erreur suivante :

Notice: Undefined index: ValidID in MonFichier.php on line 1

Une idée du problème.

Cordialement.

Pierre.

[rawsrc]

salut,

déjà on ne fait pas transiter les données d'identification dans une url $_GET, on utilise plutôt le $_POST,
ensuite quand tu fais if (_t($_GET['ValidID'], 'Valider')) qui te dit que $_GET['ValidID'] existe et est défini ? Tu dois garder ton test du isset() et après tu testes avec ta fonction.

D'ailleurs je ne comprends pas trop l'utilité de ta fonction. Pourquoi interdire des caractères alors qu'il suffit d'utiliser correctement les échappements pour la base de données (PDO) par exemple pour t'en prémunir.
Enfin, généralement l'interdiction de caractères dans une chaîne d'identification est considérée comme une grosse faiblesse.
Limite la longueur mais pas le contenu.

D'ailleurs si tu utilises les fonctions de sécurité de PHP : Fonctions de hachage de mot de passe, tu es même à l'abri des attaques sur le traitement des longues valeurs (le temps).

[ChPr]

... D'ailleurs je ne comprends pas trop l'utilité de ta fonction. ...

C'était il y a une douzaine d'années, on m'avait suggéré cette manière faire dans un but de non injection SQL et cela ne posait aucun problème avec la version php 5.3.9 d'alors.

Comme c'est uniquement en local que je me sers de cela maintenant, je vais simplement revenir à la première solution : if (isset($_GET['ValidID']))Cordialement.

Pierre.

[Celira]

Dans un fichier .php, j'ai le test suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if (isset($_GET['ValidID'])) // Test des résultats du formulaire d'identification
{
}
...

Cela ne pose pas de problème, que 'ValidID' soit défini ou non.

En même temps, c'est un peu le but de la fonction isset : traiter les cas où la variable ou l'index n'est pas défini sans planter

Donc le plus simple est de combiner les deux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_GET['ValidID']) && _t($_GET['ValidID'], 'Valider'))

Au passage, il ya des fonctions comme filter_​input pour tester les données en entrée.