Discussion :

[okkix]

Bonjour,
J'ai remarqué que :
if (!empty($_POST['var'])) { }
ET
if ($_POST['var']) { }
Font la même chose.

Donc je me demandais si c'était mieux de coder avec la fonction empty ou sans.
Point de vue sécuritée c'est pareil ?
C'est une option dans php.ini qui gère ça ?

Merci d'avance pour vos réponses

[SphynXz]

je suis franchement pas sûr de ce que tu affirmes

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
$ok = 0;
if($ok)
	echo "sans empty : ok!<br/>";
else
	echo "sans empty : pas ok!<br/>";
if(empty($ok))
	echo "avec empty : ok!<br/>";
else
	echo "avec empty : pas ok!<br/>";

[okkix]

Désolé je me suis trompé :p c'est !empty

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
if($_GET['var']) {
	echo 'var sans empty';
}
if(!empty($_GET['var'])) {
	echo 'var avec empty';
}
?>

[oOSebOo]

Pour ma part je prefere entre les deux méthodes utiliser :
if (!empty($_POST['var'])) { }

Coté sécurité étant donné que c'est dans un IF je ne trouve pas qu'il y a de différence entre les deux.... par contre c'est pas la même chose si tu utilise ton $_POST autre part ( genre dans un select ) auquel cas il faut beaucoup plus filtrer les données fournis...

L'idéal étant de caster les variables à utiliser avec (string) ou (int) etc.. en fonction du type de donnée, et de créer une fonction qui supprime tout le code html, javascript,....

Pour les formulaires pour filtrer les données j'utilise :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 function clean_post($str_to_clean)
    {
        $str_clean = htmlspecialchars(stripslashes(strip_tags(trim(preg_replace("/<script.*?<\/script>/i","", $str_to_clean)))));
        return $str_clean;
    }