Discussion :

[Nadd]

Bonsoir à tous

Je suis actuellement en train de développer un nouveau site (je suis développeur amateur :p) et je m'interoge quant à la sécurité de ce dernier (du site, pas de l'amateur développeur ) !

Je me suis permis d'implanter le code de "sécurisation" présent dans le common.php de phpBB2 ! Celui avec le if(!get_magic_quotes_gpc) !
J'aimerais savoir en un premier temps si ce code est vraiment interessant (je suppose que oui mais vaut mieux en être sûr). J'aimerais connaître en un deuxième temps les différentes majeures entre $_GET et $HTTP_GET_VARS .

En vous remerçiant d'avance,

Nadd

[SpiritOfDoc]

Magic_quotes, c'est quoi ?
C'est une invention révolutionnaire qui permet de faire planter tes applications en un rien de temps.
Cela avait pour but de remplacer l'addslashes, à l'époque, c'est à dire, de remplacer, par exemple, le caractère \ directement par \\. Or cela s'appliquait à toutes les variables, et pas qu'une seule fois, pour peu qu'on manipulait quelque temps une variable, on se retrouvais avec 25 anti-slashes ...

Comment empêcher son action
Avec ce petit bout de code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

set_magic_quotes_runtime(0);

Ensuite, tu fais comme dans PHPbb si tu le souhaites, c'est à dire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if( !get_magic_quotes_gpc ) {...}

En effet, tester que le set_magic_quotes à bien été changer est une chose intelligente à faire ^_^.

Sur ce, j'ai plus de temps, bonne journée ^_^.

[bkill]

et pour la réponse sur les différences entre $_GET et $HTTP_GET_VARS:
$_GET a été introduit depuis la version 4.1.0 de PHP, et est identique à $HTTP_GET_VARS... donc aucune différence, finalement
Maintenenant, il conviendra d'utiliser $_GET depuis qu'elle existe.

[SpiritOfDoc]

et pour la réponse sur les différences entre $_GET et $HTTP_GET_VARS:
$_GET a été introduit depuis la version 4.1.0 de PHP, et est identique à $HTTP_GET_VARS... donc aucune différence, finalement
Maintenenant, il conviendra d'utiliser $_GET depuis qu'elle existe.

Voilà suis de retour ^_^.

Donc dans la logique oui, mais PHPBB utilise $HTTP_X_VARS; pour une raison de compatibilité avec tous les serveurs des utilisateurs.

Si tu comptes rendre public ton script, prend en compte ce paramètre.

[Nadd]

D'accord !

Ce que je pourrais faire après tout, c'est de remplacer (dans le code de phpBB) les variables $HTTP_GET_VARS par tout simplement $_GET !

Merci beaucoup !

Amicalement,

Nadd

[SpiritOfDoc]

Si tu veux ^_^, utilise CTRL + F pour aller plus vite ^_^