[réglé] est ce bien protégé ?

est ce bien protégé ? [réglé] - PHP - Programmation

Marsh Posté le 21-12-2007 à 21:41:31    

Bonsoir.
 
Je voudrais savoir si ce code est bien protégé contre les infections sql.
 
Merci  
 

Code :
  1. <?php  $pseudo = mysql_real_escape_string(htmlspecialchars($_POST['auteur']));   // Petite sécurité pour éviter les
  2.                $message = mysql_real_escape_string(htmlspecialchars($_POST['message'])); // injections SQL dans ta BDD.
  3. $idnews = $data['id'];
  4. mysql_query ("INSERT INTO commentaires VALUES('', '" . $pseudo . "', '" . $message . "', '" . $idnews . "' , '" . time() . "')" )or die (mysql_error()); /* Là, on entre juste les données dans une nouvelle entrée de la table SQL...*/ ?>


Message édité par jc66 le 22-12-2007 à 22:23:21
Reply

Marsh Posté le 21-12-2007 à 21:41:31   

Reply

Marsh Posté le 21-12-2007 à 22:44:16    

"htmlspecialchars" n'a rien à faire là au milieu imo :o


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 22-12-2007 à 00:00:50    

Je rajouterais que c/c un code provenant du site du zéro sur un autre forum pour leur demander si le dit code est bon, c'est une atitude a gerber :/


---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 22-12-2007 à 06:50:50    

WiiDS a écrit :

Je rajouterais que c/c un code provenant du site du zéro sur un autre forum pour leur demander si le dit code est bon, c'est une atitude a gerber :/


 
A bon, c interdit de demander des avis sur un autre forum ?
Je l'ai pas vu écrit ca dans la carte du forum   :(  
C quoi cette attitude mdrrr  :D


Message édité par jc66 le 22-12-2007 à 06:52:44
Reply

Marsh Posté le 22-12-2007 à 11:52:36    

l'attitude mdrrrr comme tu dis c'est de pas daigner réfléchir 10s à ce que tu copie/colle :o

Reply

Marsh Posté le 22-12-2007 à 12:57:32    

Joel F a écrit :

l'attitude mdrrrr comme tu dis c'est de pas daigner réfléchir 10s à ce que tu copie/colle :o


 
c'est mon code , et je vient demander si c'est sécurisé ou pas, c'est un forum d'entre aide non ?
 
Je suis bien sur le bon forum php entre aide non ?  si ca dérange, ne répond pas et passes ton chemin lol

Message cité 1 fois
Message édité par jc66 le 22-12-2007 à 12:58:29
Reply

Marsh Posté le 22-12-2007 à 13:26:11    


 
Lol , erreur de frappe désolé .   Merci  :hello:  

Reply

Marsh Posté le 22-12-2007 à 15:13:01    

jc66 a écrit :

c'est mon code


C'est étrange d'écrire ça dans "ton" code (je grasse):
 

Citation :

Petite sécurité pour éviter les injections SQL dans ta BDD.


 
mdr, hein?
 
On peut même le trouver sur Google! Dingue! [:dawa]
 

jc66 a écrit :

Je suis bien sur le bon forum php entre aide non ?


Un premier rappel
 

jc66 a écrit :

si ca dérange, ne répond pas et passes ton chemin lol


Un deuxième rappel (même source):
 

Citation :

Si vous postez, c'est précisemment pour être lu, et a priori, rien n'indique que vous allez faire perdre du temps et manquer de respect à votre lecteur. C'est le contraire : abstenez-vous d'écrire.


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 22-12-2007 à 16:32:31    

je vient je dit, bonjour, je pose ma question, je dit merci.
Je n'est jamais demander un code tout fait, j'ai juste demandé un avis concernant la sécurité, donc un simple oui ou non, qu ej'ai eu d'ailleurs par   NazzTazz et que j'ai remercié.
 
 
QUand aux autres qui ont ont répondu, j'ai jamais eu ni un bonjour, ni un aurevoir, ni aucune réponse d'ailleurs, et c moi le méchant.  
 
Merci quand même et bonne soirée. :)


Message édité par jc66 le 22-12-2007 à 16:32:48
Reply

Marsh Posté le 22-12-2007 à 17:23:24    

Tu copies-colles puis tu viens demander qu'on te donne un avis gratis... Pas mal comme conception de l'"entre-aide" : je pompe à gauche et je demande qu'on me trouve des failles à droite.
 
Et toi, dans tout ça, tu fais quoi, à part gratter?
 
Tu as surtout prétendu que c'était "ton" code... C'est un peu prendre les habitués pour des idiots et jouer avec leurs pieds.
 
Alors oui, dans ce cas, "c toi le méchant".


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 22-12-2007 à 17:23:24   

Reply

Marsh Posté le 22-12-2007 à 17:43:56    

ok, joyeux noel :) et a bientot  :hello:

Message cité 1 fois
Message édité par jc66 le 22-12-2007 à 17:44:33
Reply

Marsh Posté le 22-12-2007 à 19:16:45    

jc66 a écrit :

ok, joyeux noel :) et a bientot  :hello:


Beh perso, je préfère pas te revoir, et en tout cas je ne serai pas là pour de l' "entraide", comme tu dis.
 
Ceci n'engage bien entendu que moi. :jap:
 
Allez, comme c'est le fêtes, un chat et un tourne-disque.
 
 [:old_maxxxxxx]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 22-12-2007 à 21:42:29    

Je trouve que vous exageriez quand meme les gars sur son post. C'est pas comme s'il demandais un truc tout fais pour lui faire ses devoirs, c'est juste une petite partie qui semblerait etre pomper sur un autre site ce dont je m'en fou un peu.  
 
 
 
yep pour le conseille  [:anathema] , il faudrait en effet que je m'y mette mais c'est only php5  
(lool j'adore les forums pour ca, on apprends bcp de chose meme en parcourant les posts des autres. C'est pour ca sircam que je te recois 5 sur 5 la dessus  [:t-w]  )
 
Les requetes préparé c'est bien uniquement si tu dois faire une serie d'insertion par exemple mais pour 1 ou 2 insertion ce n'est pas utile (si j'ai bien compris) ....
 
Sinon JC66, tu as eu ta réponse des le 2ème post de ton thread :)

Reply

Marsh Posté le 22-12-2007 à 21:50:58    

weed a écrit :

Je trouve que vous exageriez quand meme les gars sur son post. C'est pas comme s'il demandais un truc tout fais pour lui faire ses devoirs, c'est juste une petite partie qui semblerait etre pomper sur un autre site ce dont je m'en fou un peu.  
 


 

weed a écrit :


 
yep pour le conseille  [:anathema] , il faudrait en effet que je m'y mette mais c'est only php5  
(lool j'adore les forums pour ca, on apprends bcp de chose meme en parcourant les posts des autres. C'est pour ca sircam que je te recois 5 sur 5 la dessus  [:t-w]  )
 
Les requetes préparé c'est bien uniquement si tu dois faire une serie d'insertion par exemple mais pour 1 ou 2 insertion ce n'est pas utile (si j'ai bien compris) ....
 
Sinon JC66, tu as eu ta réponse des le 2ème post de ton thread :)


 
les requetes preparées permettent de faire des requetes securisés ET effectivement de gagner du temps si on les re execute.
Mais la sécurité c'est un motif suffisant pour les utiliser


---------------

Reply

Marsh Posté le 22-12-2007 à 21:58:32    

weed a écrit :

Les requetes préparé c'est bien uniquement si tu dois faire une serie d'insertion par exemple mais pour 1 ou 2 insertion ce n'est pas utile (si j'ai bien compris) ....


C'est typique du PHP : du vieux code et des pratiques obsolètes qui traînent sur le net, copiées-collées ad nauseam par des gens qui ne cherchent pas à comprendre, à vérifier, à recouper.
 
Derrière la terminologie "requêtes préparées", il y a plus que du gain de perf. Ce qui est intéressant, c'est l'aspect sécurité en plus d'une certaine uniformité.
 
 [:pingouino]  


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 22-12-2007 à 22:09:08    

sircam a écrit :


C'est typique du PHP : du vieux code et des pratiques obsolètes qui traînent sur le net, copiées-collées ad nauseam par des gens qui ne cherchent pas à comprendre, à vérifier, à recouper.

 

Derrière la terminologie "requêtes préparées", il y a plus que du gain de perf. Ce qui est intéressant, c'est l'aspect sécurité en plus d'une certaine uniformité.

 

[:pingouino]


Heureusement que personne sur HFR n'est professeur hein [:pingouino]

 

Le débutant, il en a rien a foutre de vos requêtes préparés, ce qu'il veut c'est que ca fonctionne, et une fois qu'il arrive a faire fonctionner son machin, il cherche a perfectionner et donc apprendre, pourquoi pas, les requêtes préparés. Mais ca, c'est seulement une fois qu'on maitrise le PHP correctement.

 

Vous êtes tellement dans votre élitisme que vous en oubliez que tout le monde n'a pas le même niveau que vous :/

Message cité 1 fois
Message édité par WiiDS le 22-12-2007 à 22:09:23

---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 22-12-2007 à 22:11:49    

oki, oki, je m'etais renseigné à une époque sur les requetes préparés sur developpez.com, ils avaient surtout insisté sur l'aspect de perf et non l'aspect securité.  
 
Je les ai donc tres peu utilisés ....
 
Merci pour l'info à vous 2 flo850 et sircam

Reply

Marsh Posté le 22-12-2007 à 22:22:33    

weed a écrit :


 
 
 
Sinon JC66, tu as eu ta réponse des le 2ème post de ton thread :)


 
exatc, et j'ai remercié le gars qui m'a donné une réponse que j'attendait, et pas un code fait, ce que je n'est jamais demandé.
 
j'étais parti, mais sircam  est venu mettre son grain de sel, pour rien d'ailleurs, j'ai pas compris ce qu'il voulait, mais c pas grave.
Il peur revenir me casser du sucre dans le dos, je ne revient plus sur ce post, j'ai eu ma réponse  ;)  
 
bonnes fêtes a tous
 
Au revoir  :hello:

Message cité 1 fois
Message édité par jc66 le 22-12-2007 à 22:24:00
Reply

Marsh Posté le 22-12-2007 à 23:04:21    

WiiDS a écrit :

Le débutant, il en a rien a foutre de vos requêtes préparés, ce qu'il veut c'est que ca fonctionne, et une fois qu'il arrive a faire fonctionner son machin, il cherche a perfectionner et donc apprendre, pourquoi pas, les requêtes préparés. Mais ca, c'est seulement une fois qu'on maitrise le PHP correctement.


Les gens qui maîtrise PHP correctement n'ont pas besoin d'apprendre les requêtes préparées, ils les connaissent déjà [:dawak]


---------------
HAHAHA I M USING TEH INTERNET
Reply

Marsh Posté le 22-12-2007 à 23:17:23    

Master p a écrit :


Les gens qui maîtrisent PHP correctement n'ont pas besoin d'apprendre les requêtes préparées, ils les connaissent déjà [:dawak]


J'insinuais évidemment implicitement, encore faut-il comprendre la phrase, les gens qui commencent à maîtriser PHP dans son ensemble, pas les personnes qui connaissent les moindres recoins du langage PHP.

 

Quand on apprend les maths, on commence les additions avant les équations et les notions plus complexe, ca semble découler d'une logique évidente. Etrangement, en programmation, beaucoup n'appliquent pas la dite logique aux langages quand ils aident un débutant [:pingouino]


Message édité par WiiDS le 22-12-2007 à 23:19:49

---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 22-12-2007 à 23:28:37    

[:prozac]
C'est tellement un langage de merde que ces utilisateurs jugent nécéssaire de commencer par jouer avec son caca pour apprendre à faire des châteaux de sable [:bien]


---------------
HAHAHA I M USING TEH INTERNET
Reply

Marsh Posté le 22-12-2007 à 23:32:25    

Master p a écrit :

[:prozac]
C'est tellement un langage de merde que ces utilisateurs jugent nécéssaire de commencer par jouer avec son caca pour apprendre à faire des châteaux de sable [:bien]


C'est tellement un langage de merde que les deux plus gros forums français tournent sous une application en PHP et que le plus gros forum mondial tourne lui aussi avec ce langage de piètre qualité.

 

Comment expliques tu cela ?

 

Montres moi quel application connue et utilisée par des millions d'utilisateurs tu as réalisé avec tes super langages qui envoient des mamans ours sur Saturne ?


Message édité par WiiDS le 22-12-2007 à 23:33:04

---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 22-12-2007 à 23:41:01    

J'ai bien une comparaison entre un bon restaurant et mcdo, mais je crois que ça prendrait plus de temps à expliquer qu'autre chose
 
Par contre, ce n'est pas parce qu'ils sont faits en php qu'il y a autant de users. Sinon windows serait ... non en fait j'ose même pas imaginer.

Message cité 1 fois
Message édité par xav14 le 22-12-2007 à 23:41:43
Reply

Marsh Posté le 22-12-2007 à 23:50:15    

xav14 a écrit :

J'ai bien une comparaison entre un bon restaurant et mcdo, mais je crois que ça prendrait plus de temps à expliquer qu'autre chose

 

Par contre, ce n'est pas parce qu'ils sont faits en php qu'il y a autant de users. Sinon windows serait ... non en fait j'ose même pas imaginer.


Ou je voulais en venir, c'est que PHP c'est un langage de programmation avant tout, et pas une oeuvre d'art. Ceux qui critiquent PHP parce que la syntaxe est pourrie, ca me fait doucement rire. Parce qu'au lieu de faire khakha sur ce langage pour montrer a quel point on est une élite, vous auriez du temps pour vous servir de la fonctionnalité principale d'un langage de programmation : Faire une application [:dawak]

 

Tu as pris l'exemple de MacDo et d'un restaurant disons 5 étoiles, très bon exemple ! Le restaurant, quand on peut l'utiliser, c'est super ! Mais quand on a pas les moyens de se payer un 5 étoiles (ou quand on a pas envie de payer 10 fois plus pour manger 10 fois moins), bah on va au MacDo, et les deux rejoignent la même optique de se nourrir. [:spamafote]

 

PHP n'est peut être pas le meilleur langage au monde, mais ce que je remarque, c'est que les gens qui font du Python/Perl/Autre_langage_trop_a_la_mode passent plus de temps a se, excusez moi du terme, masturber collectivement sur leur super langage qu'à créer des applications [:mlc]

 

Ca me fait penser a ces personnes qui installent Linux, qui roulent des mécaniques devant tout le monde "ouais, moi j'ai Linux, sisi regardez de plus près, c'est Linux, j'ai même un bureau en troidaÿ, sisi, en troidaÿ, regardez !" puis finalement qui passent plus de temps a utiliser des applications Windows par la biais d'un multiboot / émulateur Windows [:rofl]

 

Honnêtement, le lynchage de PHP ca tourne à l'obsession sur ce forum, c'est horrible, on dirait que vous n'avez pas de sujet plus important à traiter, mais get a life quoi [:psychokwak].


Message édité par WiiDS le 22-12-2007 à 23:52:49

---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 22-12-2007 à 23:55:43    

Ça te dirait pas d'aller en parler sur blabla@prog là?
Parce que bon, les vieux débats à la con, c'est plus là-bas, voire dans un topic propre plutôt que dans des fins de topics pourris.


---------------
HAHAHA I M USING TEH INTERNET
Reply

Marsh Posté le 23-12-2007 à 00:00:43    

Master p a écrit :

Ça te dirait pas d'aller en parler sur blabla@prog là?


C'est comme si je te disais qu'on devrait aller en discuter sur php.net aussi.


---------------
"I can cry like Roger. It's just a shame I can't play like him" - Andy Murray, 2010
Reply

Marsh Posté le 23-12-2007 à 00:39:13    

Sinon, pour répondre :
1/ On parlait au départ d'utiliser les requêtes préparées. Personnellement, je trouve ça moins compliqué qu'une série de rustines mis bout-à-bouts comme c'était le cas dans le passé. Là, les concepteurs comprennent que ça devient n'importe quoi, ils implémentent la solution qu'ils jugent comme la plus propre. S'il y a des cons pour croire qu'il est utile d'apprendre d'abord à faire un mysql_query(mysq_real_escape_string("blabla" )) pour pouvoir ensuite s'en passer, je les invite à explorer d'autres univers (genre des livres, ou la rue, voire d'autres personnes et d'autres domaines).
2/ L'élitisme présupposé amenant une majorité de programmeur à penser que PHP est bel et bien une merde est pourtant fondée sur plusieurs critères pertinents. Pour ma part, je juge uniqument sur ce que j'ai pu constaté :  
- Des perfs étonnantes
- Ça foisonne de fonctions identiques/inutiles/obsolètes
- Le langage est jeune, il a beaucoup de lacunes, donc il évolue. Pour pas faire trop mal, on avance à petit pas, souvent sans progresser. Mais tous les codes écrits il y a 3 ans sont à présent obsolètes et des vrais merdes à débugger. Ça a pas rendu sa programmation plus confortable.
- Typage faible des variables, ça aide pas pour sécuriser les interactions (BDD, client ...)
 
Après, c'est peut-être parce que justement, j'ai pratiqué php3-4-5 en milieu professionnel, pour finalement ne l'utiliser qu'occasionnellement, que ça me saute aux yeux et que ça me dérange. Maintenant, si tu te retrouves suffisament con et aigris pour croire que ton expérience est  plus valable que d'autres développeurs qui ont sûrement plus de recul que toi, c'est sûrement qu'il est temps de connaître autre chose...


---------------
HAHAHA I M USING TEH INTERNET
Reply

Marsh Posté le 23-12-2007 à 09:25:21    

jc66 a écrit :

j'étais parti, mais sircam  est venu mettre son grain de sel, pour rien d'ailleurs, j'ai pas compris ce qu'il voulait, mais c pas grave


Pour rien? Mais si, pour insister sur le fait que TU AS MENTI en disant que c'était ton code, avec tes smileys "grand sourire". Bien essayé, hein, mais bon, raté. C'était un peu notre prendre pour des idiots.
 
Ca en plus du fait que tu demandes une analyse d'un code que tu n'as pas produit, ce n'est pas une bonne pratique sur ce forum.
 
Qu'est-ce que tu ne comprends pas? "On ne fait pas le travail à ta place", et c'est un peu ce que tu demandes en sortant du code que tu n'as pas produit.
 
Que faut-il t'expliquer?
 
 
WiiDS> Je me permets de ne pas être d'accord sur les conséquences de ce que tu avances. Ton constat est correct : PHP est un code quick& dirty, le fast-food de la prog, en résumé.
 
Mais ce n'est pas une raison pour se rabattre sur des débris de code obsolètes alors qu'il existe plus efficace, plus sûr et plus facile.
 
Tu n'irais peut-être pas au MacDo si le resto 3 étoiles coutait le même prix. :-)
 
Pq tant d'applis sont-elles des passoires et pq les gars de l'OWASP ont-t-ils tant de beaux jours devant eux? Sans doute à cause de dizaines de mauvaises pratiques paresseuses qui rendent les application dangereuses.
 
Et cette considération, ce n'est pas de la masturbation intellectuelle. (pour ça, il y a Java/J2EE/Spring/Hibernate/struts/more buzz words). C'est juste indispensable pour ne pas se faire déchirer le derrière.
 
master p a raison : mysql_query(mysq_real_escape_string("blabla" )) et co, sans réfléchir, c'est vraiment pas une bonne idée.
 
:jap:


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 23-12-2007 à 09:29:35    

P.S. Et ouais, arrêtons le troll pro-PHP et contra-PHP. PHP a du bon et du mauvais, comme RoR, J2EE, .NET...
 
Perso, j'aime pas, mais parfois j'en mange. :spamafote:
 
Le seul gros point noir de PHP, c'est la "communauté", composée de 95%+ de bricoleurs du dimanche. [:dawa]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed