Version complète: sur le forum Webmaster Hub : urlencode() or not urlencode()
Webmaster Hub > Création et exploitation de Sites Internet > Les langages du Net > PHP
destroyedlolo
vendredi 5 janvier 2007 à 16:09
Bonjour,

J'ai le code suivant :
CODE
<form class='zone encadree separateur' method=post>
<input type=submit name='action' class='button supprime' value="+supp <?= $nom ) ?>" title="Supprimer la galerie" onclick='affiche("msg_attente");'>
</from>


et la, comme $nom peut valoir n'importe quoi, je me dis qu'il faut mieux l'encoder avec urlencode() pour des question de securite ...
mais est-ce que ca sert vraiment a quelque chose ? Car j'obtiens une variable action qui contient le contenu encore encodee, comme par exemple
CODE
+supp C%27est+un+nom+bien+long+%26+super+penible


Bref, si je n'encode pas la chaine, est-ce que ca deviendra une faille de securite ?

Merci et A+

Laurent
Portekoi
vendredi 5 janvier 2007 à 17:18
Bonsoir,

Si les magic quotes sont activées, non, cela ne le sera pas smile.gif
destroyedlolo
samedi 6 janvier 2007 à 01:13
Ben, c'est le cas smile.gif

Bon, apres plusieurs testes, j'ai interdit l'usage des " sinon c'est trop galere pour gerer les URL (le nom correspond a des repertoires).

Merci et bonne nuit.

Lolo
Vincent
samedi 6 janvier 2007 à 21:32
Concernant les magic quotes, je conseil à tout le monde de s'y intéresser...
Etant donné qu'il parait que ce ne sera plus possible de le mettre à "ON" (source phpfrance : PHP6 & magic_quotes) pour proteger les scripts un peu laxistes...
Il vaut mieux s'habituer de suite a developper comme si cette protection serveur n'existait pas.

PHP6, sortie prévue en 2007 selon la roadmap officielle.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.